Raad van de Europese Unie Brussel, 15 december 2015 (OR. en)
B PU
15039/15 Interinstitutioneel dossier: 2012/0011 (COD)
LIMITE
C LI
DATAPROTECT 229 JAI 976 MI 786 DIGIT 108 DAPIX 235 FREMP 295 COMIX 663 CODEC 1676 NOTA van: aan:
het voorzitterschap het Comité van permanente vertegenwoordigers
nr. vorig doc.: Nr. Comdoc.:
9565/15, 14936/15, 14901/15, 14902/15 5853/12
Betreft:
Voorstel voor een verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (algemene verordening gegevensbescherming) [eerste lezing] - Bespreking van de definitieve compromistekst met het oog op een akkoord
INTRODUCTION 1.
The Commission proposed on 25 January 2012 a comprehensive data protection package comprising of: –
abovementioned proposal for a General Data Protection Regulation, which is intended to replace the 1995 Data Protection Directive (former first pillar);
15039/15
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
Conseil UE
LIMITE
1
NL
–
a proposal for a Directive on the protection of individuals with regard to the processing of personal data by competent authorities for the purposes of prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and the free movement of such data, which is intended to replace the 2008 Data Protection Framework Decision (former third pillar).
2.
The aim of the General Data Protection Regulation is to reinforce data protection rights of individuals, facilitate the free flow of personal data in the digital single market and reduce administrative burden.
3.
The European Parliament adopted its first reading on the proposed General Data Protection Regulation and Directive on 12th March 2014 (7427/14).
4.
The Council agreed on a General Approach (9565/15) on the General Data Protection Regulation on 15th June 2015, thereby giving to the Presidency a negotiating mandate to enter into trilogues with the European Parliament. The Presidency considers the work on the General Data Protection Regulation as one of its main priorities. In line with the objective of the European Council, the Presidency intends to secure agreement with the European Parliament on the data protection package by the end of 2015.
5.
The Regulation has been examined intensively by experts and JHA Counsellors when preparing the ten trilogues with the European Parliament that have taken place since June 2015. The Presidency sought the views of delegations on possible compromise solutions both before and after each trilogue. Delegations have also been debriefed orally and in writing on all the Chapters of the Regulation discussed in trilogue. Furthermore, outstanding issues relating to the whole General Data Protection Regulation have been analysed by the Permanent Representatives Committee on 19 and 26 November 2015, 2 and 9 December 2015.
15039/15
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
2
NL
6.
With a view to enabling adoption of a political agreement on the General Data Protection Regulation as an early second reading agreement with the European Parliament, the Presidency submits the consolidated text of the draft General Data Protection Regulation to the Permanent Representatives Committee as an outcome of the final trilogue. Taking into account the overall balance of this compromise text, the Presidency invites the Permanent Representatives Committee to analyse the compromise text resulting from the final trilogue with a view to agreement.
OVERALL COMPROMISE TEXT 7.
From the annexed compromise text, the Permanent Representatives Committee will note that an acceptable balance can be found. On the final outstanding issues that were discussed in trilogue, the following balance was achieved. The way in which consent is to be given by data subjects remains “unambiguous” for all processing of personal data, with the clarification that this requires a “clear affirmative action”, and that consent has to be “explicit” for sensitive data. The European Parliament also accepted the Presidency’s proposals on liability of controllers and processors. As regards the notification of personal data breaches to the supervisory authority, the compromise suggestion discussed and largely supported by the Permanent Representatives Committee was retained. The mandatory appointment of a Data Protection Officer was deemed acceptable in strictly limited cases, with no prescriptive rules on dismissal and further nuancing as regards his/her position and tasks, as well as a clarification about “core activities” in the recital. Concerning provisions on fines, the Council’s approach of having several categories of provisions could be maintained, while acceptable maximum levels were retained as part of the overall package. Concerning provisions relating to the processing of personal data for archiving purposes in the public interest, and scientific, statistical and historical purposes, they are specified further in the relevant recitals while the term “research” had to be added to “historical and scientific purposes”.
15039/15
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
3
NL
On these purposes, the Presidency defended the necessary elements that had been identified in the Permanent Representatives Committee for a balanced result to be achieved. The Presidency’s proposals could be largely maintained with, on the strong insistence of the European Parliament, an additional safeguard for further processing for these purposes. Finally, on the conditions applicable to consent given by a child, the co-legislators converged on keeping “below the age of 16 years” as a common ceiling, while allowing Member States to foresee lower age limits.
OTHER ISSUES 8.
On the following issues, modifications have been made in order to align with provisions elsewhere in the Regulation: (8), (11), (14a), (25), (25aa), (32), (34), (37), (40), (42a), (45), (47), (48), (49), (50), (52), (53), (54a), (55), (56), (57), (58), (58a), (59a), (60), (60b), (63), (63a), (67), (71), (83), (88), (96), (97c), (98), (100), (101b), (106), (113), (116), (118), (118b), (120), (124), (125), (125aa), (126), (126a), (126c), (127), (132), (134). Article 4(8) Article 5(1(b)), (e) Article 6(1(a)), (3) Article 7(4) Article 8(1) Article 9(2(i)) Article 14a(1), (4) Article 17(3(d)) Article 19(2aa) Article 35(2), (4), (7) Article 37(1(g))
15039/15
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
4
NL
Article 39(2a), (4) Article 39a(1) Article 41(5) Article 49(2) Article 53(1), (1b), (1b(fa)), (1c), (4) Article 62 (title) Article 64(5) Article 66(1(ca0), (cda), (cdb) Article 72(1) Article 79(2a(m)), (3 new), (3a new), (3aa new) Article 80(3) Article 83(1), (2), (3) Article 86(5) Article 89b
CONCLUSION 9.
With a view to enabling adoption of a political agreement on the General Data Protection Regulation, the Presidency invites the Permanent Representatives Committee to analyse the compromise text resulting from the final trilogue, as it appears in annex, with a view to agreement.
15039/15
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
5
NL
BIJLAGE
VERORDENING (EU) NR. XXX/2016 VAN HET EUROPEES PARLEMENT EN DE RAAD betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (algemene verordening gegevensbescherming) (Voor de EER relevante tekst)
HET EUROPEES PARLEMENT EN DE RAAD VAN DE EUROPESE UNIE, Gezien het Verdrag betreffende de werking van de Europese Unie, en met name artikel 16, Gezien het voorstel van de Europese Commissie, Na toezending van het ontwerp van wetgevingshandeling aan de nationale parlementen, Gezien het advies van het Europees Economisch en Sociaal Comité 1, Gezien het advies van het Comité van de Regio's 2, Gezien het advies van de Europese Toezichthouder voor gegevensbescherming 3, Handelend volgens de gewone wetgevingsprocedure 4,
1 2 3 4
[XXX] [XXX] [XXX] Standpunt van het Europees Parlement van 14 maart 2014 en besluit van de Raad van [XXX].
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
6
NL
Overwegende hetgeen volgt: (1)
De bescherming van natuurlijke personen bij de verwerking van persoonsgegevens is een grondrecht. Krachtens artikel 8, lid 1, van het Handvest van de grondrechten van de Europese Unie en artikel 16, lid 1, van het Verdrag heeft eenieder recht op bescherming van zijn persoonsgegevens.
(2)
De beginselen en regels betreffende de bescherming van natuurlijke personen bij de verwerking van hun persoonsgegevens dienen, ongeacht de nationaliteit of de verblijfplaats van de betrokkenen, in overeenstemming te zijn met hun grondrechten en fundamentele vrijheden, en in het bijzonder met hun recht op bescherming van persoonsgegevens. Dit dient bij te dragen tot de totstandbrenging van een ruimte van vrijheid, veiligheid en recht en van een economische unie, alsook tot economische en sociale vooruitgang, de versterking en de convergentie van de economieën binnen de interne markt en het welzijn van mensen.
(3)
Richtlijn 95/46/EG van het Europees Parlement en de Raad heeft tot doel de bescherming van de grondrechten en de fundamentele vrijheden van natuurlijke personen in verband met verwerkingsactiviteiten te harmoniseren en het vrije verkeer van persoonsgegevens binnen de Unie te garanderen.
(3a) De verwerking van persoonsgegevens moet ten dienste van de mens staan. Het recht op bescherming van persoonsgegevens heeft geen absolute gelding, maar moet worden beschouwd in relatie tot de functie ervan in de samenleving en moet conform het evenredigheidsbeginsel tegen andere grondrechten worden afgewogen. Deze verordening eerbiedigt alle grondrechten alsook de beginselen die zijn erkend in het Handvest van de grondrechten van de Europese Unie zoals dat in de Verdragen is verankerd, met name het recht op de eerbiediging van het privéleven en het familie- en gezinsleven, woning en communicatie, het recht op bescherming van persoonsgegevens, de vrijheid van gedachte, geweten en godsdienst, de vrijheid van meningsuiting en van informatie, de vrijheid van ondernemerschap, het recht op een doeltreffende voorziening in rechte en op een onpartijdig gerecht, alsook het recht op culturele, godsdienstige en taalkundige verscheidenheid.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
7
NL
(4)
Dankzij de interne markt is een niveau van economische en sociale integratie bereikt dat tot een aanzienlijke toename van de grensoverschrijdende stromen van persoonsgegevens heeft geleid. De gegevensuitwisseling tussen publieke en particuliere actoren, waaronder natuurlijke personen, verenigingen en ondernemingen, is overal in de Unie toegenomen. De wetgeving van de Unie noopt de nationale autoriteiten in de lidstaten tot samenwerken en tot het uitwisselen van persoonsgegevens om hun opdrachten te vervullen of om taken uit te voeren namens een autoriteit in een andere lidstaat.
(5)
Door snelle technologische ontwikkelingen en globalisering zijn nieuwe uitdagingen voor de bescherming van persoonsgegevens ontstaan. De mate waarin gegevens worden verzameld en gedeeld, is enorm gestegen. Door technologie kunnen bedrijven en overheid bij het uitvoeren van hun activiteiten meer dan ooit tevoren gebruikmaken van persoonsgegevens. Mensen maken hun persoonsgegevens steeds vaker wereldwijd bekend. Technologie heeft zowel de economie als het maatschappelijk leven ingrijpend veranderd en moet het vrije verkeer van gegevens binnen de Unie en de doorgifte aan derde landen en internationale organisaties verder vergemakkelijken en daarbij een hoge mate van bescherming van persoonsgegevens garanderen.
(6)
Deze ontwikkelingen vereisen een krachtig en coherenter kader voor gegevensbescherming in de EU, dat gesteund wordt door strenge handhaving, omdat zulks van belang is voor het vertrouwen dat nodig is om de digitale economie zich in de hele interne markt te laten ontwikkelen. Mensen dienen controle over hun eigen persoonsgegevens te hebben en er dient meer praktische en rechtszekerheid te worden geboden aan personen, bedrijven en overheden.
(6a) Voor zover deze verordening bepaalt dat de regels die zij bevat, door het recht van de lidstaten kunnen worden gespecificeerd of beperkt, kunnen de lidstaten indien nodig elementen van de verordening in hun nationale wetgeving opnemen om de samenhang te garanderen en om de nationale bepalingen begrijpbaar te maken voor degenen op wie zij van toepassing zijn.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
8
NL
(7)
De doelstellingen en beginselen van Richtlijn 95/46/EG blijven overeind, maar de richtlijn heeft niet kunnen voorkomen dat gegevens in de Unie op gefragmenteerde wijze worden beschermd, dat er rechtsonzekerheid heerst en dat in brede lagen van de bevolking het beeld bestaat dat met name online-activiteiten aanzienlijke risico's voor de bescherming van natuurlijke personen inhouden. De lidstaten bieden op het stuk van de verwerking van persoonsgegevens uiteenlopende niveaus van bescherming van de rechten en vrijheden van natuurlijke personen, met name de bescherming van persoonsgegevens, , wat het het vrije verkeer van persoonsgegevens binnen de Unie in de weg kan staan. Deze verschillen kunnen bijgevolg een belemmering vormen voor de uitoefening van economische activiteiten op Unieschaal, de mededinging verstoren en de overheid beletten de taak die zij uit hoofde van de Uniewetgeving heeft, te vervullen. Deze verschillende beschermingsniveaus zijn toe te schrijven aan de verschillen in de uitvoering en toepassing van Richtlijn 95/46/EG.
(8)
Teneinde natuurlijke personen een consistent en hoog beschermingsniveau te bieden en de belemmeringen voor het verkeer van persoonsgegevens binnen de Unie op te heffen, dient het niveau van de bescherming van de rechten en vrijheden van natuurlijke personen op het stuk van de verwerking van deze gegevens in alle lidstaten gelijkwaardig te zijn. Er moet gezorgd worden voor een in de gehele Unie coherente en homogene toepassing van de regels inzake de bescherming van de grondrechten en de fundamentele vrijheden van natuurlijke personen in verband met de verwerking van persoonsgegevens. Met het oog op de verwerking van persoonsgegevens voor het vervullen van een wettelijke verplichting, voor het vervullen van een taak van algemeen belang of bij de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend, moet de lidstaten worden toegestaan nationale bepalingen te handhaven of in te voeren ter nadere precisering van de wijze waarop de regels van deze verordening moeten worden toegepast. In samenhang met de algemene en horizontale wetgeving inzake gegevensbescherming ter uitvoering van Richtlijn 95/46/EG beschikken de lidstaten over verscheidene sectorspecifieke wetten op gebieden waar behoefte is aan meer specifieke bepalingen. Deze verordening biedt de lidstaten ook ruimte om eigen regels voor de toepassing vast te stellen, onder meer wat de verwerking van gevoelige gegevens betreft. In zoverre sluit deze verordening geen nationale wetgeving uit waarin specifieke situaties op het gebied van gegevensverwerking nader worden omschreven, meer bepaald door nauwkeuriger te omschrijven in welke gevallen verwerking van persoonsgegevens rechtmatig geschiedt.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
9
NL
(9)
Doeltreffende bescherming van persoonsgegevens in de gehele Unie vereist versterking en nadere omschrijving van de rechten van betrokkenen en de verplichtingen van degenen die persoonsgegevens verwerken en van degenen die over die verwerking beslissen, maar ook vergelijkbare bevoegdheden op het gebied van toezicht en handhaving van de regels inzake gegevensbescherming en vergelijkbare sancties voor overtreders in de lidstaten.
(10) Artikel 16, lid 2, van het Verdrag machtigt het Europees Parlement en de Raad om de voorschriften vast te stellen betreffende de bescherming van natuurlijke personen ten aanzien van de verwerking van persoonsgegevens, alsmede de voorschriften betreffende het vrije verkeer van die gegevens. (11) Teneinde natuurlijke personen in de gehele Unie een consistent niveau van bescherming te bieden en te voorkomen dat verschillen het vrije verkeer van gegevens op de interne markt hinderen, is een verordening nodig om bedrijven, met inbegrip van middelgrote, kleine en micro-ondernemingen, rechtszekerheid en transparantie te bieden, te voorzien in dezelfde wettelijk afdwingbare rechten voor natuurlijke personen in alle lidstaten en in verplichtingen en verantwoordelijkheden voor de verwerkingsverantwoordelijken en de verwerkers, te zorgen voor consistent toezicht op de verwerking van persoonsgegevens en voor vergelijkbare sancties in alle lidstaten, alsook voor doeltreffende samenwerking tussen de toezichthoudende autoriteiten van verschillende lidstaten. Voor het goed functioneren van de interne markt is het nodig dat het vrije verkeer van persoonsgegevens in de Unie niet wordt beperkt of verboden om redenen die betrekking hebben op de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens. Met het oog op de specifieke situatie van middelgrote, kleine en micro-ondernemingen omvat deze verordening een aantal uitzonderingsbepalingen. Voorts worden de instellingen en organen van de Unie, de lidstaten en hun toezichthoudende autoriteiten aangemoedigd om bij de toepassing van deze verordening de specifieke behoeften van de middelgrote, kleine en micro-ondernemingen in aanmerking te nemen. De definitie van het begrip middelgrote, kleine en micro-ondernemingen dient te worden overgenomen uit Aanbeveling 2003/361/EG van de Commissie van 6 mei 2003.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
10
NL
(12) De bescherming die door deze verordening wordt geboden, dient betrekking te hebben op natuurlijke personen, ongeacht hun nationaliteit of verblijfplaats, in verband met de verwerking van hun persoonsgegevens. Met betrekking tot de verwerking van gegevens over rechtspersonen en met name als rechtspersonen gevestigde ondernemingen, zoals de naam en de rechtsvorm van de rechtspersoon en de contactgegevens van de rechtspersoon, dient door deze geen beroep op deze verordening te kunnen worden gedaan. (13) De bescherming van natuurlijke personen dient technologisch neutraal te zijn en niet afhankelijk te zijn van de gebruikte technieken; anders zou een ernstig gevaar van omzeiling ontstaan. De bescherming van natuurlijke personen dient zowel bij automatische als bij manuele verwerking van persoonsgegevens te gelden, indien de gegevens zijn opgeslagen of zullen worden opgeslagen in een bestand. Dossiers of een verzameling dossiers, evenals de omslagen ervan, die niet volgens specifieke criteria gestructureerd zijn, dienen niet onder het toepassingsgebied van deze verordening te vallen. (14) Deze verordening is niet van toepassing op vraagstukken met betrekking tot de bescherming van de grondrechten en de fundamentele vrijheden of het vrije verkeer van gegevens in verband met niet onder de Uniewetgeving vallende activiteiten, zoals activiteiten betreffende nationale veiligheid, noch op de verwerking van persoonsgegevens die de lidstaten verrichten bij activiteiten in verband met het gemeenschappelijk buitenlands en veiligheidsbeleid van de Unie.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
11
NL
(14a) Verordening (EG) nr. 45/2001 is van toepassing op de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie. Verordening (EG) nr. 45/2001 en andere rechtsinstrumenten van de Unie die van toepassing zijn op een dergelijke verwerking van persoonsgegevens, moeten aan de beginselen en regels van de onderhavige verordening worden aangepast en in het licht van de onderhavige verordening worden toegepast. Om de Unie een sterk en coherent raamwerk inzake gegevensbescherming ter beschikking te stellen, moet Verordening (EG) nr. 45/2001 waar nodig worden aangepast zodra de onderhavige verordening is vastgesteld, opdat deze op hetzelfde tijdstip als de onderhavige verordening van toepassing kan worden. (15) Deze verordening dient niet van toepassing te zijn op de verwerking van persoonsgegevens door een natuurlijke persoon in de loop van een louter persoonlijke of huishoudelijke activiteit die als zodanig geen enkel verband houdt met een beroeps- of handelsactiviteit. Tot persoonlijke en huishoudelijke activiteiten kunnen behoren, het voeren van correspondentie of het houden van adressenbestanden, het sociaal netwerken en online-activiteiten in de context van dergelijke persoonlijke en huishoudelijke activiteiten. Deze verordening dient evenwel te gelden voor de verwerkingsverantwoordelijken en de verwerkers die de middelen verschaffen voor de verwerking van persoonsgegevens voor dergelijke persoonlijke of huishoudelijke activiteiten.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
12
NL
(16) De bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid, en het vrije verkeer van die gegevens wordt geregeld in een specifiek rechtsinstrument van de Unie. Deze verordening dient derhalve niet van toepassing te zijn op de met die doelen verrichte verwerkingsactiviteiten. Wanneer gegevens die door overheidsinstanties overeenkomstig deze verordening zijn verwerkt, worden gebruikt met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen is het meer specifieke Unie-rechtsinstrument van toepassing (Richtlijn XX/YYYY). De lidstaten kunnen bevoegde instanties in de zin van Richtlijn XX/YYY andere taken opdragen die niet noodzakelijk worden verricht met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid, zodat de verwerking van persoonsgegevens voor die andere doelen binnen het toepassingsgebied van deze verordening valt, voor zover zij binnen het toepassingsgebied van de Uniewetgeving valt. Wat betreft de verwerking van persoonsgegevens door die bevoegde instanties voor doelen die binnen het toepassingsgebied van de algemene verordening gegevensverwerking vallen, kunnen de lidstaten meer specifieke bepalingen behouden of invoeren om de toepassing van de regels van de algemene verordening gegevensbescherming aan te passen. In die bepalingen kunnen meer bepaald specifieke voorschriften voor de verwerking van persoonsgegevens door die bevoegde instanties voor de genoemde andere doelen worden vastgesteld, rekening houdend met de grondwettelijke, organisatorische en bestuurlijke structuur van de betrokken lidstaat. Wanneer het verwerken van persoonsgegevens door privaatrechtelijke organen onder de onderhavige verordening valt, moet de verordening voorzien in de mogelijkheid dat de lidstaten onder specifieke voorwaarden bij wet vastgestelde verplichtingen en rechten beperken, indien een dergelijke beperking in een democratische samenleving een noodzakelijke en evenredige maatregel vormt ter bescherming van specifieke belangen van betekenis, waaronder de openbare veiligheid en de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid. Dit is bijvoorbeeld van belang in het kader van de bestrijding van witwassen of de werkzaamheden van forensische laboratoria. 15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
13
NL
(16a) Hoewel de onderhavige verordening ook van toepassing is op de activiteiten van rechterlijke instanties en andere gerechtelijke autoriteiten, zouden in de Uniewetgeving of nationale wetgeving de verwerkingsoperaties en verwerkingsprocedures met betrekking tot het verwerken van persoonsgegevens door rechterlijke instanties en andere gerechtelijke autoriteiten nader kunnen worden gespecificeerd. De bevoegdheid van de toezichthoudende autoriteiten dient zich niet uit te strekken tot de verwerking van persoonsgegevens door rechtscolleges in het kader van hun gerechtelijke taken, zulks teneinde de onafhankelijkheid van de rechterlijke macht bij de uitoefening van haar rechterlijke taken, waaronder haar besluitvorming, te waarborgen. Het toezicht op die gegevensverwerkingsoperaties kan worden toevertrouwd aan specifieke instanties binnen de rechterlijke organisatie van de lidstaat, die met name de naleving van de regels van deze verordening moeten controleren, de aandacht van de rechterlijke macht op haar verplichtingen krachtens deze verordening moeten vestigen, en klachten met betrekking tot die verwerking moeten behandelen. (17) Deze verordening dient geen afbreuk te doen aan de toepassing van Richtlijn 2000/31/EG van het Europees Parlement en de Raad, inzonderheid de bepalingen inzake de aansprakelijkheid van dienstverleners die als tussenpersoon optreden in de artikelen 12 tot en met 15 van die richtlijn. Met die richtlijn wordt beoogd bij te dragen tot het beter functioneren van de interne markt door het vrije verkeer van diensten van de informatiemaatschappij tussen de lidstaten te waarborgen. (18) (…) (19) De verwerking van persoonsgegevens in het kader van de activiteiten van een vestiging van een verwerkingsverantwoordelijke of een verwerker in de Unie dient overeenkomstig deze verordening te worden verricht, of de eigenlijke verwerking nu in de Unie plaatsvindt of niet. Vestiging veronderstelt het effectief en daadwerkelijk uitoefenen van activiteiten via vaste regelingen. De rechtsvorm van dergelijke regelingen, of het nu gaat om een bijkantoor of om een dochteronderneming met rechtspersoonlijkheid, is daarbij niet doorslaggevend.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
14
NL
(20) Om te waarborgen dat natuurlijke personen niet de bescherming wordt onthouden waarop zij krachtens deze verordening recht hebben, dient deze verordening van toepassing te zijn op de verwerking van persoonsgegevens van betrokkenen die zich in de Unie bevinden, door een niet in de Unie gevestigde verwerkingsverantwoordelijke of verwerker wanneer de verwerking verband houdt met het aanbieden van goederen of diensten aan deze betrokkenen, ongeacht of dit met een betaling verband houdt. Om te bepalen of een dergelijke verwerkingsverantwoordelijke of verwerker goederen of diensten aan betrokkenen in de Unie aanbiedt, moet worden nagegaan of de verwerkingsverantwoordelijke klaarblijkelijk voornemens is diensten aan te bieden aan betrokkenen in één of meer lidstaten in de Unie. De toegankelijkheid van de website van de verwerkingsverantwoordelijke of van een tussenpersoon in de Unie of van een e-mailadres en van andere contactgegevens of het gebruik van een in het derde land waar de verwerkingsverantwoordelijke is gevestigd, algemeen gebruikte taal is op zich ontoereikend om een dergelijk voornemen vast te stellen, maar ook uit andere factoren zoals het gebruik van een taal of een valuta die in één of meer lidstaten algemeen wordt gebruikt, met de mogelijkheid om in die taal goederen en diensten te bestellen, en/of de vermelding van klanten of gebruikers in de Unie, kan blijken dat de verwerkingsverantwoordelijke voornemens is goederen en diensten aan dergelijke betrokkenen in de Unie aan te bieden. (21) Het verwerken van persoonsgegevens van betrokkenen in de Unie door een niet in de Unie gevestigde verwerkingsverantwoordelijke of verwerker moet ook onder deze verordening vallen wanneer zulks verband houdt met het observeren/volgen van het gedrag van de betrokkenen voor zover zich dat binnen de Europese Unie situeert. Om uit te maken of een verwerking kan worden beschouwd als het observeren/volgen van het gedrag van betrokkenen, dient te worden vastgesteld of natuurlijke personen op het internet worden gevolgd, en onder meer of in dat verband eventueel gegevensverwerkingstechnieken worden gebruikt waarbij een profiel wordt opgesteld van een natuurlijke persoon, in het bijzonder om besluiten ten aanzien van hem te nemen of om zijn persoonlijke voorkeuren, gedragingen en attitudes te analyseren of te voorspellen. (22) Wanneer uit hoofde van het internationale publiekrecht de nationale wet van een lidstaat van toepassing is, dient deze verordening ook van toepassing te zijn op een verwerkingsverantwoordelijke die niet in de Unie is gevestigd, maar bijvoorbeeld bij een diplomatieke vertegenwoordiging of een consulaire post actief is.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
15
NL
(23) De beginselen van gegevensbescherming moeten voor elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon gelden. Gepseudonimiseerde gegevens die door het gebruik van aanvullende gegevens aan een natuurlijke persoon kunnen worden gekoppeld, moeten als gegevens over een identificeerbare natuurlijke persoon worden beschouwd. Om te bepalen of een persoon identificeerbaar is, dienen alle middelen in aanmerking te worden genomen waarvan redelijkerwijs te verwachten valt dat zij door de verwerkingsverantwoordelijke, of door iedere andere persoon worden gebruikt om de natuurlijke persoon direct of indirect te identificeren, bijvoorbeeld selectietechnieken. Om uit te maken of van middelen redelijkerwijs te verwachten valt dat zij zullen worden gebruikt om de natuurlijke persoon te identificeren, dienen alle objectieve factoren, zoals de kosten van en de tijd benodigd voor identificatie, in aanmerking te worden genomen, rekening houdend met de beschikbare technologie op het tijdstip van verwerking en de technologische ontwikkeling. De beschermingsbeginselen dienen derhalve niet van toepassing te zijn op anonieme gegevens, dat wil zeggen gegevens die geen betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon of op gegevens die zodanig anoniem zijn gemaakt dat de persoon op wie die gegevens betrekking hebben, niet of niet meer identificeerbaar is. Deze verordening heeft derhalve geen betrekking op de verwerking van dergelijke anonieme gegevens, onder meer voor statistische en onderzoeksdoelen. (23aa) De onderhavige verordening dient niet van toepassing te zijn op de gegevens van overleden
personen. De lidstaten kunnen regels vaststellen betreffende de verwerking van de gegevens van overleden personen. (23a) De toepassing van pseudonimisering op persoonsgegevens kan de risico's voor de betrokkenen verminderen en de verwerkingsverantwoordelijken en de verwerkers helpen om hun verplichtingen inzake gegevensbescherming na te komen. De uitdrukkelijke invoering van "pseudonimisering" met behulp van de artikelen van deze verordening is bijgevolg niet bedoeld om andere gegevensbeschermingsmaatregelen uit te sluiten. (23b) (…) (23c) Om stimuli te creëren voor pseudonimisering bij de verwerking van persoonsgegevens zouden, terwijl een algemene analyse mogelijk blijft, pseudonimiseringsmaatregelen moeten kunnen worden genomen door dezelfde verwerkingsverantwoordelijke wanneer deze de nodige technische en organisatorische maatregelen heeft getroffen om er bij de verwerking voor te zorgen dat de bepalingen van deze verordening ten uitvoer worden gelegd, waarbij ervoor wordt gezorgd dat de aanvullende gegevens om de persoonsgegevens aan een specifieke betrokkene te koppelen, apart worden bewaard. De verwerkingsverantwoordelijke die de gegevens verwerkt, kan ook een gemachtigd persoon bij dezelfde verwerkingsverantwoordelijke zijn.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
16
NL
(24) Natuurlijke personen kunnen worden gekoppeld aan online-identificatiemiddelen via hun apparatuur, applicaties, instrumenten en protocollen, zoals internetprotocol (IP)-adressen, identificatiecookies of andere identificatiemiddelen zoals radiofrequentie-identificatietags. Dit kan sporen achterlaten die, met name wanneer zij met unieke identificatoren en andere door de servers ontvangen informatie worden gecombineerd, kunnen worden gebruikt om profielen op te stellen van natuurlijke personen en natuurlijke personen te herkennen. (24c nieuw) Overheidsinstanties waaraan ingevolge een wettelijke verplichting gegevens worden meegedeeld voor het vervullen van een officiële taak, zoals belasting- of douaneautoriteiten, financiëleonderzoeksdiensten, onafhankelijke bestuurlijke autoriteiten of financiëlemarktautoriteiten die belast zijn met de regulering van en het toezicht op de effectenmarkten, mogen niet gelden als ontvangers indien zij gegevens ontvangen die nodig zijn voor het uitvoeren van een bepaald onderzoek van algemeen belang, overeenkomstig de Uniewetgeving of nationale wetgeving. Door overheidsinstanties ingediende verzoeken om verstrekking moeten in ieder geval schriftelijk, gemotiveerd en incidenteel zijn, mogen geen volledig bestand betreffen of resulteren in het interconnecteren van bestanden. De verwerking van deze gegevens door bedoelde overheidsinstanties moet stroken met de voor het doel van de verwerking toepasselijke gegevensbeschermingsregels. (25) Toestemming dient te worden gegeven door middel van een ondubbelzinnige actieve handeling, bijvoorbeeld een schriftelijke (ook elektronische) of mondelinge verklaring, waaruit blijkt dat de betrokkene vrijelijk, specifiek, geïnformeerd en ondubbelzinnig met de verwerking van zijn persoonsgegevens instemt. Hiertoe zou kunnen behoren het klikken op een vakje bij een bezoek aan een internetwebsite, het selecteren van technische instellingen voor diensten van de informatiemaatschappij of een andere verklaring of een andere handeling waaruit in dit verband duidelijk blijkt dat de betrokkene instemt met de voorgestelde verwerking van zijn persoonsgegevens. Stilzwijgen, het gebruik van reeds aangekruiste vakjes of inactiviteit dient derhalve niet als toestemming te gelden. De toestemming dient te gelden voor alle verwerkingsactiviteiten die hetzelfde doel of dezelfde doelen dienen. Indien de verwerking meerdere doelen heeft, moet toestemming voor alle verwerkingsdoelen worden verleend. Indien de betrokkene zijn toestemming moet geven na een elektronisch verzoek, dient dat verzoek duidelijk en beknopt te zijn en niet onnodig storend voor het gebruik van de betrokken dienst.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
17
NL
(25aa) Het is vaak niet mogelijk op het ogenblik waarop de gegevens worden verzameld, het doel van de gegevensverwerking voor wetenschappelijke onderzoeksdoelen volledig te omschrijven. Daarom moet de betrokkenen worden toegestaan hun toestemming te geven voor bepaalde terreinen van het wetenschappelijk onderzoek wanneer erkende ethische normen voor wetenschappelijk onderzoek in acht worden genomen. Betrokkenen moeten de gelegenheid krijgen om hun toestemming alleen te geven voor bepaalde onderzoeksterreinen of onderdelen van onderzoeksprojecten, voor zover het voorgenomen doel zulks toelaat. (25a) Genetische gegevens moeten worden gedefinieerd als persoonsgegevens met betrekking tot de overgeërfde of verworven genetische kenmerken van een natuurlijke persoon zoals aangetoond middels een analyse van een biologisch monster van de persoon in kwestie, in het bijzonder een chromosoomanalyse, een analyse van desoxyribonucleïnezuur (DNA) of van ribonucleïnezuur (RNA) of een analyse van andere elementen waarmee soortgelijke informatie verkregen kan worden. (26) Persoonsgegevens over gezondheid dienen alle gegevens te omvatten die betrekking hebben op de gezondheidstoestand van de betrokkene en die informatie geven over de lichamelijke of geestelijke gezondheidstoestand van de betrokkene in het verleden, het heden en de toekomst, met inbegrip van informatie over de natuurlijke persoon die is verzameld in het kader van de registratie voor en de verlening van gezondheidszorgdiensten als bedoeld in Richtlijn 2011/24/EU aan de betrokken natuurlijke persoon; een aan een natuurlijke persoon toegekend cijfer, symbool of kenmerk dat als unieke identificatie van die persoon geldt voor gezondheidsdoeleinden; informatie die voortkomt uit het testen of onderzoeken van een lichaamsdeel of lichaamseigen stof, met inbegrip van genetische gegevens en biologische monsters; of informatie over bijvoorbeeld ziekte, handicap, ziekterisico, medische voorgeschiedenis, klinische behandeling of de feitelijke fysiologische of biomedische staat van de betrokkene, ongeacht de bron, zoals bijvoorbeeld een arts of een andere gezondheidswerker, een ziekenhuis, een medisch hulpmiddel of een in-vitrodiagnostiek.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
18
NL
(27) De hoofdvestiging van een verwerkingsverantwoordelijke in de Unie dient de plaats te zijn waar zich zijn centrale administratie in de Unie bevindt, tenzij de besluiten over het doel van en de middelen voor de verwerking van persoonsgegevens worden genomen in een andere vestiging van de verwerkingsverantwoordelijke in de Unie. In dit geval moet deze laatste vestiging als hoofdvestiging worden beschouwd. Welke vestiging de hoofdvestiging van een verwerkingsverantwoordelijke in de Unie is, dient te worden bepaald op grond van objectieve criteria, zoals het effectief en daadwerkelijk uitvoeren van beheersactiviteiten, met het oog op het nemen van de kernbesluiten over het doel van en de middelen voor de verwerking via vaste regelingen. Dit criterium dient los te staan van het feit of de verwerking van de persoonsgegevens daadwerkelijk op die locatie plaatsvindt; de aanwezigheid en het gebruik van technische middelen en technologieën voor de verwerking van persoonsgegevens of verwerkingsactiviteiten zijn niet bepalend voor het belang van een vestiging en zijn dan ook geen doorslaggevende criteria om te bepalen of het om de hoofdvestiging gaat. De hoofdvestiging van de verwerker dient de plaats te zijn waar zich zijn centrale administratie in de Unie bevindt en, indien hij niet over een centrale administratie in de Unie beschikt, de plaats waar de voornaamste verwerkingsactiviteiten in de Unie plaatsvinden. Bij betrokkenheid van zowel de verwerkingsverantwoordelijke als de verwerker, moet de toezichthoudende autoriteit van de lidstaat waar de verwerkingsverantwoordelijke zijn hoofdvestiging heeft, de bevoegde leidende toezichthoudende autoriteit blijven, maar de toezichthoudende autoriteit van de verwerker moet worden beschouwd als een betrokken toezichthoudende autoriteit en deelnemen aan de in deze verordening vastgestelde samenwerkingsprocedure. In elk geval dienen, als het ontwerpbesluit alleen de verwerkingsverantwoordelijke betreft, de toezichthoudende autoriteiten van de lidstaat of de lidstaten waar de verwerker een of meer vestigingen heeft, niet te worden aangemerkt als betrokken toezichthoudende autoriteiten. Indien de verwerking door een groep van ondernemingen wordt uitgevoerd, dient de hoofdvestiging van de zeggenschap uitoefenende onderneming als de hoofdvestiging van de groep ondernemingen te worden beschouwd, behalve indien het doel van en de middelen voor de verwerking door een andere onderneming worden bepaald.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
19
NL
(28) Een groep van ondernemingen dient te bestaan uit een onderneming die zeggenschap uitoefent en de ondernemingen waarover zeggenschap wordt uitgeoefend, waarbij de onderneming die zeggenschap uitoefent de onderneming dient te zijn die overheersende invloed kan uitoefenen over de andere ondernemingen uit hoofde van bijvoorbeeld eigendom, financiële deelneming of op haar van toepassing zijnde voorschriften, of op grond van de bevoegdheid om regels inzake de bescherming van persoonsgegevens te doen uitvoeren. Een centrale onderneming die de verwerking van persoonsgegevens in de aan haar gelieerde ondernemingen controleert, vormt samen met deze ondernemingen een entiteit die mag worden behandeld als een "groep van ondernemingen". (29) Kinderen hebben met betrekking tot hun persoonsgegevens recht op specifieke bescherming, aangezien zij zich allicht minder bewust zijn van de risico's, gevolgen, beschermingsmaatregelen en hun rechten in verband met de verwerking van persoonsgegevens. Het betreft met name het gebruik van persoonsgegevens van kinderen voor marketingdoelen of voor het opstellen van persoonlijkheids- of gebruikersprofielen en het verzamelen van gegevens over kinderen bij het gebruik van rechtstreeks aan kinderen verstrekte diensten. In de context van preventieve of adviesdiensten die rechtstreeks aan een kind worden aangeboden, is de toestemming van de persoon die de ouderlijke verantwoordelijkheid draagt, niet vereist.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
20
NL
(30) Elke verwerking van persoonsgegevens dient behoorlijk en rechtmatig te geschieden. Voor natuurlijke personen dient het transparant te zijn dat persoonsgegevens die hen betreffen worden verzameld, gebruikt, geraadpleegd of anderszins verwerkt en in welke mate de gegevens worden verwerkt of zullen worden verwerkt. Overeenkomstig het transparantiebeginsel moeten informatie en communicatie in verband met de verwerking van die gegevens eenvoudig toegankelijk en begrijpelijk zijn, en moet duidelijke en eenvoudige taal worden gebruikt. Dit betreft met name het informeren van de betrokkenen over de identiteit van de verwerkingsverantwoordelijke en het doel van de verwerking, alsook verdere informatie om te zorgen voor behoorlijke en transparante verwerking met betrekking tot de natuurlijke personen en hun recht om bevestiging en mededeling te krijgen van het feit dat hun persoonsgegevens worden verwerkt. Personen moeten bewust worden gemaakt van de risico's, regels, beschermingsmaatregelen en rechten in verband met de verwerking van persoonsgegevens, alsook van de wijze waarop zij hun rechten met betrekking tot de verwerking kunnen uitoefenen. Met name dienen de specifieke doelen waarvoor de gegevens worden verwerkt, expliciet en rechtmatig te zijn en te zijn vastgesteld wanneer de gegevens worden verzameld. De gegevens dienen toereikend en ter zake dienend te zijn en beperkt te blijven tot wat noodzakelijk is voor de doelen waarvoor zij worden verwerkt; derhalve dient er met name voor te worden gezorgd dat de opslagperiode van de gegevens tot een strikt minimum wordt beperkt. Persoonsgegevens dienen alleen te worden verwerkt indien het doel van de verwerking niet redelijkerwijs op een andere wijze kan worden verwezenlijkt. Om ervoor te zorgen dat gegevens niet langer worden bewaard dan nodig is, dient de verwerkingsverantwoordelijke termijnen vast te stellen voor het wissen van gegevens of voor een periodieke toetsing ervan. Alle redelijke maatregelen moeten worden genomen om ervoor te zorgen dat onjuiste persoonsgegevens worden gerectificeerd of gewist. Persoonsgegevens moeten worden verwerkt op een manier die een passende beveiliging en vertrouwelijkheid van die gegevens waarborgt, ook ter voorkoming van ongeoorloofde toegang tot of het ongeoorloofde gebruik van persoonsgegevens en de apparatuur die voor de verwerking wordt gebruikt.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
21
NL
(31) Voor rechtmatige verwerking van persoonsgegevens is de toestemming van de betrokkene vereist of een andere rechtmatige grondslag waarin de wet voorziet, hetzij in deze verordening, hetzij in andere Uniewetgeving of nationale wetgeving als bedoeld in deze verordening, of ook dat de verwerking noodzakelijk is om te voldoen aan wettelijke verplichtingen die op de verwerkingsverantwoordelijke rusten of om een overeenkomst uit te voeren waarbij de betrokkene partij is of om op verzoek van de betrokkene voorafgaand aan het aangaan van een overeenkomst maatregelen te nemen. (31a) Wanneer in deze verordening naar een rechtsgrondslag of een wetgevingsmaatregel wordt verwezen, betekent dit niet per definitie dat een door een parlement vastgestelde wetgevingshandeling nodig is, onverminderd de vereisten overeenkomstig de grondwettelijke orde van de betrokken lidstaat; deze rechtsgrondslag of wetgevingsmaatregel moet evenwel duidelijk en nauwkeurig zijn, en de toepassing ervan moet voorspelbaar zijn voor degenen op wie deze van toepassing is, zoals vereist door de jurisprudentie van het Hof van Justitie van de Europese Unie en het Europees Hof voor de Rechten van de Mens. (32) Indien de verwerking plaatsvindt op grond van toestemming van de betrokkene, moet de verwerkingsverantwoordelijke kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking. Met name in de context van een schriftelijke verklaring over een andere zaak dient te worden gewaarborgd dat de betrokkene zich ervan bewust is dat hij toestemming geeft en hoever deze toestemming reikt. In overeenstemming met Richtlijn 93/13/EEG van de Raad1 stelt de verwerkingsverantwoordelijke vooraf een verklaring van toestemming op in een begrijpelijke en makkelijk toegankelijke vorm en in duidelijke en eenvoudige taal; deze verklaring mag geen oneerlijke bedingen bevatten. Opdat toestemming met kennis van zaken wordt gegeven, moet de betrokkene ten minste bekend zijn met de identiteit van de verwerkingsverantwoordelijke en het doel van de verwerking van de persoonsgegevens. Toestemming mag niet worden geacht vrijelijk te zijn verleend indien de betrokkene geen echte vrije keuze heeft en zijn toestemming derhalve niet kan weigeren of intrekken zonder nadelige gevolgen. (33) (…)
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
22
NL
(34) Om te waarborgen dat toestemming vrijelijk is verleend, mag toestemming geen geldige rechtsgrondslag zijn voor de verwerking van persoonsgegevens in een specifiek geval wanneer er sprake is van een duidelijke onevenwichtigheid tussen de betrokkene en de verwerkingsverantwoordelijke, met name wanneer de verwerkingsverantwoordelijke een overheidsinstantie is, en dit het onwaarschijnlijk maakt dat de toestemming in alle omstandigheden van die specifieke situatie vrijelijk is verleend. De toestemming wordt geacht niet vrijelijk te zijn verleend indien geen afzonderlijke toestemming kan worden gegeven voor verschillende gegevensverwerkingsoperaties ondanks het feit dat dit in het individuele geval passend is, of indien de uitvoering van een overeenkomst, daaronder begrepen het verlenen van een dienst, afhankelijk wordt gesteld van de toestemming ondanks het feit dat dit niet nodig is voor die uitvoering. (35) Verwerking die nodig is in het kader van een overeenkomst of een voorgenomen overeenkomst, dient rechtmatig te zijn. (35a) (…) (36) Indien de verwerking wordt verricht omdat de verwerkingsverantwoordelijke hiertoe wettelijk is verplicht of indien de verwerking nodig is voor de vervulling van een taak van algemeen belang dan wel voor een taak in het kader van de uitoefening van het openbaar gezag, dient de verwerking een grondslag te hebben in de Uniewetgeving of in de nationale wetgeving van een lidstaat. Deze verordening schrijft niet voor dat voor elke afzonderlijke verwerking specifieke wetgeving vereist is. Er kan worden volstaan met wetgeving die als basis fungeert voor verscheidene verwerkingsoperaties op grond van een wettelijke verplichting die op de verwerkingsverantwoordelijke rust, of voor verwerking die nodig is voor de vervulling van een taak van algemeen belang dan wel voor een taak in het kader van de uitoefening van het openbaar gezag. Het moet ook de Uniewetgeving of de nationale wetgeving zijn die het doel van de verwerking bepaalt. Voorts zou deze grondslag een nadere omschrijving kunnen geven van de algemene voorwaarden van de verordening waaraan de gegevensverwerking moet voldoen om rechtmatig te zijn, en specificaties kunnen vaststellen voor het bepalen van de verwerkingsverantwoordelijke, het type gegevens dat wordt verwerkt, de betrokkenen, de entiteiten waaraan de gegevens mogen worden vrijgegeven, de doelbinding, de opslagperiode en andere maatregelen om te zorgen voor rechtmatige en behoorlijke verwerking. Ook dient in de Uniewetgeving of nationale wetgeving te worden vastgesteld of de verwerkingsverantwoordelijke die belast is met een taak van algemeen belang dan wel met een taak in het kader van de uitoefening van het openbaar gezag, een overheidsinstantie of een andere publiekrechtelijke of privaatrechtelijke persoon, zoals een beroepsvereniging, moet zijn, indien die redenen van algemeen belang, daaronder begrepen gezondheidsdoeleinden, zoals volksgezondheid, sociale bescherming en het beheer van gezondheidszorgdiensten, zulks rechtvaardigen.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
23
NL
(37) De verwerking van persoonsgegevens dient ook als rechtmatig te worden beschouwd indien zij nodig is voor de bescherming van een belang dat voor het leven van de betrokkene of dat van een andere persoon essentieel is. Verwerking van persoonsgegevens is in beginsel alleen toegestaan op grond van een vitaal belang voor een andere natuurlijke persoon indien de verwerking kennelijk niet op een andere rechtsgrond kan worden gebaseerd. Sommige typen gegevensverwerking kunnen zowel gewichtige redenen van algemeen belang als de vitale belangen van de betrokkene dienen, bijvoorbeeld wanneer de verwerking noodzakelijk is voor humanitaire doelen, onder meer voor het monitoren van een epidemie en de verspreiding daarvan of in humanitaire noodsituaties, met name bij natuurrampen of door de mens veroorzaakte rampen. (38) Het rechtmatige belang van een verwerkingsverantwoordelijke, onder wie een verwerkingsverantwoordelijke aan wie de gegevens kunnen worden verstrekt, of van een derde kan een rechtsgrondslag voor verwerking bieden, mits het belang of de grondrechten en de fundamentele vrijheden van de betrokkene niet prevaleren, rekening houdend met de redelijke verwachtingen van de betrokkene op basis van zijn verhouding met de verwerkingsverantwoordelijke. Er zou bijvoorbeeld sprake zijn van een rechtmatig belang wanneer er een relevante en geschikte verhouding is tussen de betrokkene en de verwerkingsverantwoordelijke, in situaties waarin de betrokkene een klant is of in dienst is van de verwerkingsverantwoordelijke. In elk geval is een zorgvuldige beoordeling geboden om te bepalen of er sprake is van een rechtmatig belang, alsook om te bepalen of een betrokkene op het tijdstip en in het kader van de verzameling van de gegevens redelijkerwijs mag verwachten dat verwerking met dat doel kan plaatsvinden. De belangen en de grondrechten van de betrokkene kunnen met name prevaleren boven het belang van de verwerkingsverantwoordelijke wanneer persoonsgegevens worden verwerkt in omstandigheden waarin de betrokkenen redelijkerwijs geen verdere verwerking verwachten. Aangezien het aan de wetgever is de rechtsgrondslag voor gegevensverwerking door overheidsinstanties te creëren, dient deze rechtsgrond niet van toepassing te zijn op de verwerking door overheidsinstanties in het kader van de uitvoering van hun taken. De verwerking van persoonsgegevens die strikt noodzakelijk is voor het voorkomen van fraude is ook een rechtmatig belang van de betrokken verwerkingsverantwoordelijke. De verwerking van persoonsgegevens ten behoeve van direct marketing kan worden beschouwd als uitgevoerd met het oog op een rechtmatig belang.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
24
NL
(38a) Verwerkingsverantwoordelijken die deel uitmaken van een groep van ondernemingen of aan een centraal lichaam gelieerde instellingen zijn, kunnen een rechtmatig belang hebben bij het doorzenden van persoonsgegevens binnen de groep van ondernemingen voor interne administratieve doelen, waaronder de verwerking van persoonsgegevens van klanten of werknemers. De algemene beginselen voor de doorgifte van persoonsgegevens, binnen een groep van ondernemingen, aan een in een derde land gevestigde onderneming blijven onverlet. (39) De verwerking van gegevens voor zover die strikt noodzakelijk en evenredig is met het oog op netwerk- en informatiebeveiliging, d.w.z. dat een netwerk of informatiesysteem op een bepaald vertrouwelijkheidsniveau bestand is tegen incidentele gebeurtenissen of onwettige of kwaadaardige acties die de beschikbaarheid, authenticiteit, integriteit en vertrouwelijkheid van opgeslagen of doorgegeven gegevens in het gedrang brengen, en de beveiliging van de daarmee verband houdende diensten die door deze netwerken en systemen worden geboden of via deze toegankelijk zijn, door overheidsinstanties, computercrisisteams (Computer Emergency Response Teams, CERT's), computercalamiteitenteams (Computer Security Incident Response Teams, CSIRT's), aanbieders van elektronische communicatienetwerken en -diensten en aanbieders van beveiligingstechnologie en -diensten, vormt een rechtmatig belang van de betrokken verwerkingsverantwoordelijke. Zo kan er bijvoorbeeld sprake zijn van het verhinderen van ongeoorloofde toegang tot elektronische-communicatienetwerken en van verspreiding van kwaadaardige codes, alsook van het stoppen van "denial of service"aanvallen en van schade aan computers en elektronischecommunicatiesystemen.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
25
NL
(40) De verwerking van persoonsgegevens voor andere doelen dan die waarvoor de gegevens in eerste instantie zijn verzameld, dient alleen te worden toegestaan indien de verwerking verenigbaar is met de doelen waarvoor de gegevens in eerste instantie zijn verzameld. In dat geval is er geen andere afzonderlijke rechtsgrondslag vereist dan die op grond waarvan de verzameling van gegevens werd toegestaan. Indien de verwerking noodzakelijk is voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend, kan in de Uniewetgeving of nationale wetgeving worden vastgesteld en gespecificeerd voor welke taken en doelen de verdere verwerking als rechtmatig en verenigbaar met de initiële doelen wordt beschouwd. De verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doelen, moet als een met de initiële doelen verenigbare rechtmatige verwerkingsoperatie worden beschouwd. De Unierechtelijke of nationaalrechtelijke bepaling die als rechtsgrondslag voor het verwerken van persoonsgegevens dient, kan ook als rechtsgrondslag voor verdere verwerking dienen. Om na te gaan of een doel van verdere verwerking verenigbaar is met het doel waarvoor de gegevens in eerste instantie zijn verzameld, moet de verwerkingsverantwoordelijke, nadat hij aan alle voorschriften inzake rechtmatigheid van de oorspronkelijke verwerking heeft voldaan, onder andere rekening houden met een eventuele koppeling tussen die doelen en de doelen van de voorgenomen verdere verwerking, het kader waarin de gegevens zijn verzameld, met name de redelijke verwachtingen van de betrokkenen op basis van hun verhouding met de verwerkingsverantwoordelijke betreffende het verdere gebruik ervan, de aard van de persoonsgegevens, de gevolgen van de voorgenomen verdere verwerking voor de betrokkenen en passende waarborgen bij zowel de oorspronkelijke als de voorgenomen verdere verwerkingsoperaties. Wanneer de betrokkene zijn toestemming heeft gegeven of wanneer de verwerking gebaseerd is op Uniewetgeving of nationale wetgeving die in een democratische samenleving een noodzakelijke en evenredige maatregel vormt voor, met name, het waarborgen van belangrijke doelstellingen van algemeen belang, moet het de verwerkings-verantwoordelijke worden toegestaan de gegevens verder te verwerken, ongeacht of zulks verenigbaar is met de doelen. Er dient in ieder geval voor te worden gezorgd dat de in deze verordening vervatte beginselen worden toegepast en dat de betrokkene met name wordt geïnformeerd over dergelijke andere doelen en over zijn rechten, waaronder het recht om bezwaar te maken. Het aanwijzen van mogelijke strafbare feiten of gevaren voor de openbare veiligheid door de verwerkingsverantwoordelijke en de doorzending van de desbetreffende gegevens in individuele zaken of in verschillende zaken die met hetzelfde strafbare feit of dezelfde gevaren voor de openbare veiligheid te maken hebben, aan een bevoegde instantie moeten worden beschouwd als zijnde in het rechtmatige belang van de verwerkingsverantwoordelijke. De doorgifte in het rechtmatige belang van de verwerkings-verantwoordelijke of de verdere verwerking van persoonsgegevens moeten evenwel worden verboden wanneer de verwerking niet verenigbaar is met een wettelijke, beroepsmatige of anderszins bindende geheimhoudingsplicht.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
26
NL
(41) Persoonsgegevens die door hun aard bijzonder gevoelig zijn wat betreft de grondrechten en fundamentele vrijheden, verdienen specifieke bescherming aangezien de context van de verwerking ervan grote risico's kan meebrengen voor de grondrechten en de fundamentele vrijheden. Die gegevens dienen ook persoonsgegevens te omvatten waaruit ras of etnische afkomst blijkt, waarbij het gebruik van de term 'ras' in deze verordening niet impliceert dat de Unie theorieën aanvaardt die erop gericht zijn vast te stellen dat er verschillende menselijke rassen bestaan. Het verwerken van foto's geldt niet systematisch als gevoelige verwerking, aangezien foto's alleen onder de definitie van biometrische gegevens vallen wanneer zij worden verwerkt met behulp van bepaalde technische middelen die de unieke identificatie of authenticatie van een natuurlijke persoon mogelijk maken. Dergelijke gegevens dienen niet te worden verwerkt, tenzij de verwerking is toegestaan in in deze verordening vermelde specifieke gevallen, rekening houdend met het feit dat in de wetgeving van de lidstaten specifieke bepalingen inzake gegevensbescherming kunnen worden opgenomen teneinde de toepassing van de regels van deze verordening aan te passen met het oog op de vervulling van een wettelijke verplichting of met het oog op de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend. Naast de specifieke voorschriften voor die verwerking dienen de algemene beginselen en andere regels van deze verordening te worden toegepast, met name wat betreft de voorwaarden voor rechtmatige verwerking. Er moet onder meer uitdrukkelijk in afwijkingen van het algemene verbod op de verwerking van die bijzondere categorieën persoonsgegevens worden voorzien ingeval de betrokkene zijn uitdrukkelijke toestemming geeft of in geval van specifieke behoeften, met name wanneer de verwerking wordt verricht in het kader van wettige activiteiten door bepaalde verenigingen of stichtingen die ernaar streven de uitoefening van de fundamentele vrijheden mogelijk te maken.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
27
NL
(42) Van het verbod op de verwerking van categorieën van gevoelige gegevens moet ook kunnen worden afgeweken, indien de Uniewetgeving of nationale wetgeving hierin voorziet en er passende waarborgen worden geboden ter bescherming van persoonsgegevens en andere grondrechten, op grond van een algemeen belang, in het bijzonder de verwerking van gegevens op het gebied van het arbeidsrecht en het socialebeschermingsrecht, met inbegrip van de pensioenen, en voor doelen inzake gezondheidsbeveiliging, -bewaking en waarschuwing, preventie of bestrijding van overdraagbare ziekten en andere ernstige gezondheidsbedreigingen. Dat kan gebeuren voor gezondheidsdoeleinden, zoals de volksgezondheid en het beheer van gezondheidszorgdiensten, met name om de kwaliteit en kostenefficiëntie te waarborgen van de procedures voor de afwikkeling van aanvragen voor uitkeringen en diensten in het kader van de ziektekostenverzekering, met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doelen. Verwerking van deze categorie van gegevens dient ook mogelijk te zijn indien zulks noodzakelijk is voor de vaststelling, de uitoefening of de verdediging van een recht in rechte, hetzij in een gerechtelijke procedure, hetzij in een administratieve of buitengerechtelijke procedure; ook hiervoor moet in een afwijking worden voorzien.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
28
NL
(42a) Bijzondere categorieën van persoonsgegevens waarvoor betere bescherming is vereist, mogen alleen voor gezondheidsdoelen worden verwerkt indien dat nodig is om die doelen te verwezenlijken in het belang van natuurlijke personen en de samenleving als geheel, met name bij het beheer van gezondheidszorgdiensten en -stelsels of sociale diensten en stelsels van sociale diensten, met inbegrip van de verwerking door de beheersautoriteiten en de centrale nationale gezondheidsinstanties van die gegevens met het oog op kwaliteitscontrole, beheersinformatie en het algemeen nationaal en lokaal toezicht op het gezondheidszorgstelsel of het stelsel van sociale diensten, en bij het waarborgen van de continuïteit van de gezondheidszorg of de sociale diensten en grensoverschrijdende gezondheidszorg of voor doelen inzake gezondheidsbeveiliging, -bewaking en -waarschuwing of met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doelen op basis van Uniewetgeving of nationale wetgeving die aan een doelstelling van algemeen belang moet voldoen, alsook voor studies van algemeen belang op het gebied van de volksgezondheid. Derhalve dient deze verordening te voorzien in geharmoniseerde voorwaarden voor de verwerking van bijzondere categorieën van persoonsgegevens betreffende de gezondheid, in geval van specifieke behoeften, met name indien deze gegevens met het oog op bepaalde gezondheidsdoeleinden worden verwerkt door personen die wettelijk aan het beroepsgeheim gebonden zijn. De Uniewetgeving of nationale wetgeving moet in specifieke en passende maatregelen voor de bescherming van de grondrechten en persoonsgegevens van natuurlijke personen voorzien. Het moet de lidstaten worden toegestaan andere voorwaarden, waaronder beperkingen, met betrekking tot de verwerking van genetische gegevens, biometrische gegevens of gezondheidsgegevens te handhaven of in te voeren. Wanneer deze voorwaarden van toepassing zijn op de grensoverschrijdende verwerking van deze gegevens, mag dit evenwel geen belemmering vormen voor het vrije verkeer van gegevens binnen de Unie.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
29
NL
(42b) Het kan om redenen van algemeen belang op het gebied van de volksgezondheid nodig zijn om bijzondere categorieën van persoonsgegevens zonder toestemming van de betrokkene te verwerken. Die verwerking wordt onderworpen aan passende en specifieke maatregelen ter bescherming van de rechten en vrijheden van natuurlijke personen. In dit verband dient "volksgezondheid" overeenkomstig de definitie van Verordening (EG) nr. 1338/2008 van het Europees Parlement en de Raad van 16 december 2008 betreffende communautaire statistieken over de volksgezondheid en de gezondheid en veiligheid op het werk te worden uitgelegd als alle elementen in verband met de gezondheid, namelijk gezondheidstoestand, inclusief morbiditeit en beperkingen, de determinanten die een effect hebben op die gezondheidstoestand, de behoeften aan gezondheidszorg, middelen ten behoeve van de gezondheidszorg, de verstrekking van en de universele toegang tot gezondheidszorg, alsmede de uitgaven voor en de financiering van de gezondheidszorg, en de doodsoorzaken. Dergelijke verwerking van persoonsgegevens over gezondheid om redenen van algemeen belang mag er niet toe te leiden dat persoonsgegevens door derden zoals werkgevers, verzekerings-maatschappijen en banken voor andere doelen worden verwerkt. (43) Bovendien vindt de verwerking van persoonsgegevens door overheidsinstanties ter verwezenlijking van in het constitutionele recht of in het volkenrecht vastgelegde doelstellingen van officieel erkende religieuze verenigingen plaats op grond van een algemeen belang. (44) Als het bij verkiezingsactiviteiten voor de goede werking van de democratie in een lidstaat vereist is dat politieke partijen gegevens over de politieke opvattingen van personen verzamelen, kan de verwerking van zulke gegevens op grond van een algemeen belang worden toegestaan, mits er passende waarborgen worden vastgesteld. (45) Indien de verwerkingsverantwoordelijke aan de hand van de door hem verwerkte gegevens geen natuurlijke persoon kan identificeren, hoeft hij niet te worden verplicht om, uitsluitend om aan een bepaling van deze verordening te voldoen, aanvullende gegevens te verkrijgen ter identificatie van de betrokkene. De verwerkingsverantwoordelijke mag evenwel niet weigeren de door de betrokkene tot staving van de uitoefening van zijn rechten verstrekte aanvullende gegevens aan te nemen. De identiteit van de betrokkene dient ook digitaal te worden vastgesteld, bijvoorbeeld aan de hand van dezelfde persoonlijke beveiligingsgegevens, die door de betrokkene worden gebruikt voor het aanmelden op de door de verwerker van de gegevens aangeboden onlinedienst. 15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
30
NL
(46) Overeenkomstig het transparantiebeginsel moet informatie die bestemd is voor het publiek of voor de betrokkene, beknopt, eenvoudig toegankelijk en begrijpelijk zijn en moet duidelijke en eenvoudige taal en, in voorkomend geval, aanvullend visualisatie worden gebruikt. Deze informatie kan elektronisch worden verstrekt, bijvoorbeeld wanneer die tot het publiek is gericht, via een website. Dit geldt in het bijzonder voor situaties zoals onlineadvertenties, waarin het vanwege zowel het grote aantal actoren als de technologische complexiteit van de praktijk voor een betrokkene moeilijk is te weten en te begrijpen of, door wie en met welk doel zijn persoonsgegevens worden verzameld. Aangezien kinderen specifieke bescherming verdienen, dient wanneer de verwerking specifiek gericht is tot een kind, de informatie en communicatie in een zodanig duidelijke en eenvoudige taal te worden gesteld dat het kind deze makkelijk kan begrijpen. (47) Er dienen procedures voorhanden te zijn om de betrokkene in staat te stellen zijn rechten uit hoofde van deze verordening uit te oefenen, zoals mechanismen om te verzoeken om, met name, inzage in en rectificatie en wissing van gegevens en, indien van toepassing, deze gratis te bekomen, alsmede om het recht van bezwaar uit te oefenen. De verwerkingsverantwoordelijke dient ook middelen te verstrekken om verzoeken elektronisch in te dienen, vooral wanneer persoonsgegevens langs elektronische weg worden verwerkt. De verwerkingsverantwoordelijke dient verplicht te zijn zonder onredelijke vertraging en ten laatste binnen een maand op een verzoek van de betrokkene te reageren, en een eventuele voorgenomen weigering om aan het verzoek van de betrokkene gehoor te geven, te motiveren. (48) Overeenkomstig de beginselen van behoorlijke en transparante verwerking dient de betrokkene te worden ingelicht over het feit dat er verwerking plaatsvindt en waartoe. De verwerkingsverantwoordelijke dient de betrokkene de nadere informatie te verstrekken die nodig is om tegenover de betrokkene een behoorlijke en transparante verwerking te waarborgen, met inachtneming van de concrete omstandigheden en de context waarin de persoonsgegevens worden verwerkt. Voorts moet de betrokkene worden geïnformeerd over het bestaan van profilering en de gevolgen ervan. Indien de gegevens van de betrokkene moeten worden verkregen, dient hem te worden meegedeeld of hij verplicht is de gegevens te verstrekken en wat de gevolgen zijn van niet-verstrekking van de gegevens. Deze informatie kan met behulp van gestandaardiseerde icoontjes worden verstrekt, teneinde op goed zichtbare, begrijpelijke en duidelijk leesbare wijze de zin van de voorgenomen verwerking weer te geven. Elektronisch weergegeven icoontjes moeten machineleesbaar zijn.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
31
NL
(49) De informatie over de verwerking van persoonsgegevens betreffende de betrokkene dient hem te worden meegedeeld bij het verzamelen van de gegevens of, indien de gegevens niet bij de betrokkene maar uit een andere bron zijn verkregen, binnen een redelijke termijn, naargelang van de specifieke omstandigheden. Wanneer de gegevens rechtmatig aan een andere ontvanger kunnen worden verstrekt, dient de betrokkene te worden meegedeeld wanneer de gegevens voor het eerst aan de ontvanger worden verstrekt. Wanneer de verwerkingsverantwoordelijke voornemens is de gegevens te verwerken met een ander doel dan het doel waarvoor de gegevens zijn verzameld, moet de verwerkingsverantwoordelijke de betrokkene vóór die verdere verwerking informatie over dat andere doel en andere benodigde informatie verstrekken. Wanneer de oorsprong van de gegevens niet aan de betrokkene kan worden meegedeeld omdat verschillende bronnen zijn gebruikt, moet de informatie op algemene wijze worden verstrekt. (50) Deze verplichting is echter overbodig wanneer de betrokkene al over deze informatie beschikt, of wanneer de vastlegging of mededeling van de gegevens uitdrukkelijk bij wet is voorgeschreven of de verstrekking van informatie aan de betrokkene onmogelijk blijkt of onevenredig veel moeite zou kosten. Dit laatste zou met name het geval kunnen zijn wanneer verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doelen geschiedt; hierbij mag in aanmerking worden genomen om hoeveel betrokkenen het gaat, hoe oud de gegevens zijn en welke passende waarborgen kunnen worden ingebouwd.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
32
NL
(51) Elke natuurlijke persoon dient het recht te hebben om de gegevens die over hem zijn verzameld, in te zien, en dit recht eenvoudig en met redelijke tussenpozen uit te oefenen, zodat hij zich van de verwerking op de hoogte kan stellen en de rechtmatigheid ervan kan controleren. Dit houdt ook in dat natuurlijke personen het recht dienen te hebben op inzage in hun persoonsgegevens betreffende hun gezondheid, zoals de gegevens in hun medisch dossier, dat informatie bevat over diagnose, onderzoeksuitslagen, beoordelingen door behandelende artsen en verrichte behandelingen en ingrepen. Elke betrokkene dient dan ook het recht te hebben, te weten en te worden meegedeeld voor welke doelen de gegevens worden verwerkt, indien mogelijk hoe lang zij worden bewaard, welke ontvangers de gegevens ontvangen, welke logica er ten grondslag ligt aan een eventuele automatische verwerking van de gegevens en, ten minste wanneer de verwerking op profilering is gebaseerd, wat de gevolgen van een dergelijke verwerking zouden kunnen zijn. Indien mogelijk kan de verwerkingsverantwoordelijke toegang op afstand geven tot een beveiligd systeem waarop de betrokkene direct zijn persoonsgegevens kan inzien. Dit recht dient geen afbreuk te doen aan de rechten en vrijheden van anderen, met inbegrip van het zakengeheim of de intellectuele eigendom en met name aan het auteursrecht dat de software beschermt. Deze overwegingen mogen er echter niet toe leiden dat de betrokkene alle informatie wordt onthouden. Wanneer de verwerkingsverantwoordelijke een grote hoeveelheid gegevens betreffende de betrokkene verwerkt, kan hij de betrokkene, voorafgaand aan de verstrekking van de informatie, verzoeken te preciseren op welke gegevens of welke verwerkingsactiviteiten zijn verzoek betrekking heeft. (52) De verwerkingsverantwoordelijke dient, met name met betrekking tot onlinediensten en online-identificatiemiddelen, alle redelijke maatregelen te nemen om de identiteit te controleren van een betrokkene die om inzage verzoekt. Een verwerkingsverantwoordelijke dient persoonsgegevens niet uitsluitend te bewaren om op eventuele verzoeken te kunnen reageren.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
33
NL
(53) Elke natuurlijke persoon dient het recht te hebben persoonsgegevens over zichzelf te laten rectificeren en dient een "recht om te worden vergeten" te hebben, wanneer het bewaren van die gegevens niet in overeenstemming is met deze verordening of met Uniewetgeving of nationale wetgeving die op de verwerkingsverantwoordelijke van toepassing is. Betrokkenen dienen met name het recht te hebben hun persoonsgegevens te laten wissen en niet verder te laten verwerken wanneer de gegevens niet langer nodig zijn voor de doelen waarvoor zij zijn verzameld of anderszins te laten verwerken, wanneer de betrokkenen hun toestemming voor de verwerking hebben ingetrokken of bezwaar maken tegen de verwerking van hun persoonsgegevens, of wanneer de verwerking van hun persoonsgegevens op een ander punt niet met deze verordening in overeenstemming is. Dit recht is uitermate relevant wanneer de betrokkene toestemming heeft gegeven als kind, toen hij zich nog niet volledig bewust was van de risico's van verwerking, en dergelijke persoonsgegevens later wil verwijderen, met name van het internet. De betrokkene dient dit recht te kunnen uitoefenen niettegenstaande het feit dat hij geen kind meer is. Het dient echter rechtmatig te zijn gegevens langer te bewaren wanneer dat nodig is voor de uitoefening van het recht op vrijheid van meningsuiting en van informatie, voor het nakomen van een wettelijke verplichting, voor de uitvoering van een taak in het algemeen belang of in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend, om redenen van algemeen belang op het vlak van volksgezondheid, met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doelen of voor de vaststelling, uitoefening of verdediging van een rechtsvordering. (54) Ter versterking van het "recht om te worden vergeten" in de online-wereld, dient het recht op wissing van gegevens zodanig te worden uitgebreid, dat de verwerkingsverantwoordelijke die de persoonsgegevens openbaar heeft gemaakt, verplicht is de verwerkingsverantwoordelijken die dergelijke gegevens verwerken, ervan op de hoogte te stellen dat iedere koppeling met, of kopie of reproductie van die persoonsgegevens moet worden gewist. De verwerkingsverantwoordelijke dient, met inachtneming van de beschikbare technologie en de middelen waarover hij beschikt, redelijke maatregelen te nemen, waaronder technische maatregelen, om de verwerkingsverantwoordelijken die de gegevens verwerken, over het verzoek van de betrokkene te informeren.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
34
NL
(54a) Tot de methoden ter beperking van de verwerking van persoonsgegevens zou kunnen behoren dat de geselecteerde gegevens tijdelijk naar een ander verwerkingssysteem worden overgebracht, dat de geselecteerde gegevens voor gebruikers niet beschikbaar worden gemaakt of dat gepubliceerde gegevens tijdelijk van een website worden gehaald. In geautomatiseerde bestanden moet in beginsel met technische middelen worden gezorgd voor een zodanige beperking van de verwerking van persoonsgegevens dat de gegevens niet verder kunnen worden verwerkt en niet langer kunnen worden gewijzigd; het feit dat de verwerking van persoonsgegevens beperkt is, moet in het bestand op zodanige wijze zijn aangegeven dat zulks duidelijk is. (55) Om de zeggenschap over zijn eigen gegevens verder te versterken, dient de betrokkene wanneer de persoonsgegevens via geautomatiseerde procedés worden verwerkt, ook de mogelijkheid te hebben de hem betreffende persoonsgegevens die hij aan een verwerkingsverantwoordelijke heeft verstrekt, in een gestructureerd, algemeen gebruikt, machineleesbaar en interoperabel formaat te verkrijgen en die aan een andere verwerkingsverantwoordelijke door te zenden. De verwerkingsverantwoordelijken dienen ertoe te worden aangemoedigd interoperabele formaten te ontwikkelen die gegevensmeeneembaarheid mogelijk maken. Dit recht dient te gelden wanneer de betrokkene de persoonsgegevens heeft verstrekt door zijn toestemming te geven dan wel wanneer de verwerking noodzakelijk is voor de uitvoering van een overeenkomst. Dit recht dient niet te gelden wanneer de verwerking op basis van een andere rechtsgrond dan een toestemming of een overeenkomst geschiedt. Door de aard ervan mag dit recht niet worden uitgeoefend jegens verwerkingsverantwoordelijken die gegevens verwerken in het kader van de uitoefening van hun openbare taken. Derhalve dient dit recht met name niet te gelden indien de verwerking van de persoonsgegevens nodig is voor de vervulling van een bij wet opgelegde verplichting die op de verwerkingsverantwoordelijke rust, voor de vervulling van een taak van algemeen belang of in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend. Het recht van de betrokkene om hem betreffende persoonsgegevens door te zenden of te ontvangen, doet voor de verwerkingsverantwoordelijke geen verplichting ontstaan om technisch compatibele systemen voor gegevensverwerking op te zetten of te houden. Wanneer het in een bepaalde verzameling persoonsgegevens meer dan één betrokkene aanbelangt, moet het recht om de gegevens te ontvangen de rechten van andere betrokkenen overeenkomstig deze verordening onverlet laten. Dit recht dient tevens het recht van de betrokkene om zijn persoonsgegevens te laten wissen, alsmede de beperkingen die in deze verordening aan dat recht zijn gesteld, onverlet te laten en mag in het bijzonder niet inhouden dat de hem betreffende persoonsgegevens die de betrokkene ter uitvoering van een overeenkomst heeft verstrekt, voor zover en zolang de gegevens noodzakelijk zijn voor de uitvoering van die overeenkomst, worden gewist. Voor zover dit technisch haalbaar is, moet de betrokkene het recht hebben te verkrijgen dat de gegevens direct van de ene naar de andere verwerkingsverantwoordelijke worden doorgezonden. 15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
35
NL
(56) Wanneer persoonsgegevens rechtmatig mogen worden verwerkt omdat de verwerking nodig is ter vervulling van een taak van algemeen belang of in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend, dan wel op grond van een wettig belang van een verwerkingsverantwoordelijke of een derde, dient een betrokkene niettemin bezwaar te kunnen maken tegen de verwerking van gegevens die op zijn specifieke situatie betrekking hebben. De verwerkingsverantwoordelijke dient aan te tonen dat zijn dwingende gerechtvaardigde belangen wellicht prevaleren boven de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene. (57) Wanneer persoonsgegevens worden verwerkt ten behoeve van direct marketing, dient de betrokkene, ongeacht of het een eerste dan wel verdere verwerking betreft, het recht te hebben te allen tijde en kosteloos bezwaar te maken tegen deze verwerking, ook in het geval van profilering voor zover deze betrekking heeft op de direct marketing. Dit recht wordt uitdrukkelijk, op duidelijke wijze en gescheiden van overige informatie, onder de aandacht van de betrokkene gebracht.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
36
NL
(58) De betrokkene dient het recht te hebben niet te worden onderworpen aan een louter op geautomatiseerde verwerking gebaseerd beoordelingsbesluit - dat een maatregel kan behelzen - over persoonlijke, hem betreffende aspecten, waaraan voor hem rechtsgevolgen zijn verbonden of dat hem in vergelijkbaar aanmerkelijke mate treft, zoals de automatische weigering van een via internet ingediende kredietaanvraag of van verwerking van sollicitaties via het internet zonder menselijke tussenkomst. Een verwerking van die aard omvat ook 'profilering', wat bestaat in de geautomatiseerde verwerking van persoonsgegevens ter beoordeling van persoonlijke aspecten van een natuurlijke persoon, met name om kenmerken betreffende beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren of belangstellingsterreinen, betrouwbaarheid of gedrag, verblijfplaats of verplaatsingen te analyseren of te voorspellen, wanneer daaraan voor hem rechtsgevolgen zijn verbonden of dat hem in vergelijkbaar aanmerkelijke mate treft. Besluitvorming op basis van een dergelijke verwerking, met inbegrip van profilering, dient echter wel mogelijk te zijn wanneer deze uitdrukkelijk is toegestaan bij Uniewetgeving of nationale wetgeving die op de verwerkingsverantwoordelijke van toepassing is , onder meer ten behoeve van het monitoren of de preventie, overeenkomstig de regelgeving, normen en aanbevelingen van de EU-instellingen of de nationale voor oversight bevoegde instanties, van fraude of belastingontduiking, en om te zorgen voor de veiligheid en betrouwbaarheid van een dienst die door de verwerkingsverantwoordelijke wordt verleend, of nodig in het kader van het sluiten of uitvoeren van een overeenkomst tussen de betrokkene en een verwerkingsverantwoordelijke, of wanneer de betrokkene zijn uitdrukkelijke toestemming heeft gegeven. Er moeten voor dergelijke verwerking in ieder geval passende waarborgen worden geboden, waaronder specifieke voorlichting van de betrokkene, het recht op menselijke tussenkomst en het recht dat een dergelijke maatregel geen betrekking mag hebben op een kind, om zijn standpunt kenbaar te maken, om een uitleg over de na een dergelijke beoordeling genomen besluit te krijgen en om het besluit aan te vechten. Teneinde een voor de betrokkene behoorlijke en transparante verwerking te garanderen, met inachtneming van de concrete omstandigheden en context waarin de persoonsgegevens worden verwerkt, dient de verwerkingsverantwoordelijke voor de profilering passende wiskundige en statistische procedures te hanteren en technische en organisatorische maatregelen te treffen waarmee factoren die aanleiding geven tot onnauwkeurigheid van de gegevens, worden gecorrigeerd en het risico op fouten wordt geminimaliseerd, en de persoonsgegevens zodanig te bewaren dat rekening wordt gehouden met de potentiële risico's voor de belangen en rechten van de betrokkene en dat onder andere wordt voorkomen dat zulks voor natuurlijke personen discriminerende gevolgen zou hebben op grond van ras of etnische afkomst, politieke overtuiging, godsdienst of levensovertuiging, lidmaatschap van een vakbond, genetische of gezondheidsstatus, of seksuele gerichtheid, of gevolgen zou hebben die leiden tot maatregelen met een vergelijkbaar effect. Geautomatiseerde besluitvorming en profilering gebaseerd op bijzondere categorieën van persoonsgegevens dienen uitsluitend op specifieke voorwaarden te worden toegestaan.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
37
NL
(58a) Voor profilering als zodanig gelden de regels van deze verordening betreffende verwerking van persoonsgegevens, bijvoorbeeld rechtsgrondslagen voor verwerking of beginselen van gegevensbescherming. Het Europees Comité voor gegevensbescherming dient de mogelijkheid te krijgen om in dit verband een en ander aan te sturen. (59) In de Uniewetgeving of nationale wetgeving kunnen beperkingen worden gesteld aan de specifieke beginselen en het recht op informatie, inzage , rectificatie, wissing, gegevensoverdraagbaarheid en bezwaar, alsook aan besluiten gebaseerd op profilering, aan de melding aan de betrokkene van een inbreuk op persoonsgegevens en aan bepaalde daarmee verband houdende verplichtingen van de verwerkingsverantwoordelijken, in zoverre dat in een democratische samenleving noodzakelijk en evenredig is voor het beschermen van de openbare veiligheid, waaronder de bescherming van het menselijk leven – met name bij natuurrampen of door de mens veroorzaakte rampen –, voor de voorkoming, het onderzoek en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid, of van schendingen van de beroepscodes voor gereglementeerde beroepen, voor het beschermen van andere algemene belangen van de Unie of een lidstaat, met name een gewichtig economisch of financieel belang van de Unie of een lidstaat, voor het houden van openbare registers die nodig zijn om redenen van algemeen belang, voor de verdere verwerking van gearchiveerde persoonsgegevens teneinde specifieke informatie over het politieke gedrag onder voormalige totalitaire regimes te verkrijgen of voor het beschermen van de betrokkene of de rechten en vrijheden van anderen, met inbegrip van sociale bescherming, volksgezondheid en humanitaire doelen. Deze beperkingen moeten in overeenstemming zijn met de vereisten van het Handvest van de grondrechten van de Europese Unie en het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden. (60) De verantwoordelijkheid en aansprakelijkheid van de verwerkingsverantwoordelijke dienen te worden vastgesteld voor elke verwerking van persoonsgegevens die door hem of te zijner behoeve wordt uitgevoerd. Met name dient de verwerkingsverantwoordelijke te worden verplicht passende en effectieve maatregelen uit te voeren en te kunnen aantonen dat elke verwerkingsactiviteit overeenkomstig deze verordening geschiedt, ook wat betreft de doeltreffendheid van de maatregelen. Bij deze maatregelen moet rekening worden gehouden met de aard, de omvang, de context en het doel van de verwerking en het risico voor de rechten en vrijheden van natuurlijke personen.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
38
NL
(60a) Die risico's, van uiteenlopende waarschijnlijkheid en ernst, kunnen voortvloeien uit gegevensverwerking en resulteren in ernstig lichamelijk letsel en ernstige materiële of morele schade, met name waar de verwerking kan leiden tot discriminatie, identiteitsdiefstal of fraude, financiële verliezen, reputatieschade, verlies van vertrouwelijkheid van door het beroepsgeheim beschermde gegevens, ongeoorloofde ongedaanmaking van pseudonimisering, of ieder ander aanzienlijk economisch of maatschappelijk nadeel; wanneer de betrokkenen hun rechten en vrijheden niet kunnen uitoefenen of geen controle over hun persoonsgegevens hebben; wanneer persoonsgegevens worden verwerkt waaruit ras of etnische afkomst, politieke opvattingen, religie of overtuiging, of vakbondslidmaatschap blijkt, en bij de verwerking van genetische gegevens of gegevens over gezondheid of seksueel gedrag of strafrechtelijke veroordelingen en begane strafbare feiten of daarmee verband houdende veiligheids-maatregelen; wanneer persoonlijke aspecten worden geëvalueerd, om met name beroeps-prestaties, economische situatie, gezondheid, persoonlijke voorkeuren of belangstellings-sferen, betrouwbaarheid of gedrag, verblijfplaats of verplaatsingen te analyseren of te voorspellen, teneinde persoonlijke profielen op te stellen of te gebruiken; wanneer persoons-gegevens van kwetsbare natuurlijke personen, met name van kinderen, worden verwerkt; wanneer de verwerking een grote hoeveelheid persoonsgegevens betreft en een groot aantal betrokkenen betreft. (60b) De waarschijnlijkheid en de ernst van de risico's voor de rechten en vrijheden van de betrokkene moeten worden bepaald op basis van de aard, het toepassingsgebied, de context en de doelen van de gegevensverwerking. Het risico moet worden bepaald aan de hand van een objectieve beoordeling en vastgesteld moet worden of de verwerking gepaard gaat met een risico of een hoog risico. (60c) Richtsnoeren voor de tenuitvoerlegging van passende maatregelen, en om aan te tonen dat de verwerkingsverantwoordelijke of de verwerker de regels naleeft, vooral wat betreft de identificatie van de risico’s in verband met de verwerking, de beoordeling van de oorsprong, aard, waarschijnlijkheid en ernst ervan, en het in kaart brengen van beste praktijken om de risico’s te verminderen, kunnen met name worden verstrekt door goedgekeurde gedragscodes, goedgekeurde certificeringen, richtsnoeren van het Europees Comité voor gegevensbescherming of door middel van de aanwijzingen van een functionaris voor gegevensbescherming. Het Europees Comité voor gegevensbescherming kan tevens richtsnoeren uitvaardigen met betrekking tot verwerkingen die waarschijnlijk niet zullen resulteren in een hoog risico voor de rechten en vrijheden van natuurlijke personen, en aangeven met welke maatregelen in dat geval kan worden volstaan om die risico's aan te pakken.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
39
NL
(61) Ter bescherming van de rechten en vrijheden van natuurlijke personen in verband met de verwerking van persoonsgegevens zijn passende technische en organisatorische maatregelen nodig om te waarborgen dat aan de bepalingen van deze verordening wordt voldaan. Teneinde de naleving van deze verordening aan te kunnen tonen, dient de verwerkingsverantwoordelijke intern beleid vast te stellen en maatregelen te nemen die voldoen aan met name de beginselen van gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen. Dergelijke maatregelen kunnen onder meer bestaan uit het minimaliseren van de verwerking van persoonsgegevens, het zo spoedig mogelijk pseudonimiseren van persoonsgegevens, transparantie met betrekking tot de functies en de verwerking van persoonsgegevens, het in staat stellen van de betrokkene om toezicht te houden op de informatieverwerking en uit het in staat stellen van de verwerkingsverantwoordelijke om beveiligingskenmerken te creëren en te verbeteren. Bij de uitwerking, de ontwikkeling, de keuze en het gebruik van toepassingen, diensten en producten die zijn gebaseerd op de verwerking van persoonsgegevens, of die persoonsgegevens verwerken bij de uitvoering van hun opdracht, dienen de producenten van de producten, diensten en toepassingen gestimuleerd te worden om bij het ontwikkelen en uitwerken van dergelijke producten, diensten en toepassingen rekening te houden met het recht op bescherming van persoonsgegevens en, met inachtneming van de stand van de techniek, erop toe te zien dat de verwerkingsverantwoordelijken en de verwerkers in staat zijn te voldoen aan hun verplichtingen inzake gegevensbescherming. De beginselen van gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen dienen ook bij openbare aanbestedingen in aanmerking te worden genomen. (62) Het is voor de bescherming van de rechten en vrijheden van betrokkenen en de verantwoordelijkheid en aansprakelijkheid van verwerkingsverantwoordelijken en verwerkers noodzakelijk, onder meer wat het toezicht door en de maatregelen van de toezichthoudende autoriteiten betreft, dat de bij deze verordening vastgestelde verantwoordelijkheden op duidelijke wijze worden toegekend, ook wanneer de verwerkingsverantwoordelijke de doelen en de middelen voor de verwerking samen met andere verwerkingsverantwoordelijken vaststelt, of wanneer een verwerking ten behoeve van een verwerkingsverantwoordelijke wordt uitgevoerd.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
40
NL
(63) Wanneer een niet in de Unie gevestigde verwerkingsverantwoordelijke of verwerker persoonsgegevens van betrokkenen die zich in de Unie bevinden, verwerkt, en de verwerking verband houdt met het aanbieden van goederen of diensten - ongeacht of een betaling door de betrokkenen is vereist - aan die zich in de Unie bevindende betrokkenen of met het observeren/volgen van hun gedrag in de Unie, dient de verwerkingsverantwoordelijke of de verwerker een vertegenwoordiger aan te wijzen, tenzij de verwerking incidenteel is, niet de grootschalige verwerking van speciale gegevenscategorieën als bedoeld in artikel 9, lid 1, of de verwerking van gegevens betreffende strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 9a inhoudt en - gelet op de aard, de context, de omvang en de doelen van de verwerking - waarschijnlijk geen risico oplevert voor de rechten en vrijheden van natuurlijke personen, of tenzij de verwerkingsverantwoordelijke een overheidsinstantie of -lichaam is. De vertegenwoordiger dient namens de verwerkingsverantwoordelijke of de verwerker op te treden en kan door iedere toezichthoudende autoriteit worden benaderd. De vertegenwoordiger dient uitdrukkelijk te worden aangewezen via een schriftelijk mandaat van de verwerkingsverantwoordelijke of de verwerker om namens hen op te treden met betrekking tot de hun verplichtingen uit hoofde van deze verordening. De aanwijzing van een dergelijke vertegenwoordiger heeft geen invloed op de verantwoordelijkheid en aansprakelijkheid van de verwerkingsverantwoordelijke of de verwerker uit hoofde van deze verordening. De vertegenwoordiger dient zijn taken te verrichten volgens het van de verwerkingsverantwoordelijke ontvangen mandaat, en onder meer samen te werken met de bevoegde toezichthoudende autoriteiten met betrekking tot alle maatregelen die ter naleving van deze verordening worden genomen. In geval van niet-naleving door de verwerkingsverantwoordelijke dient de aangewezen vertegenwoordiger aan handhavingsmaatregelen te worden onderworpen.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
41
NL
(63a) Teneinde te waarborgen dat met betrekking tot de verwerking die door de verwerker ten behoeve van de verwerkingsverantwoordelijke moet worden verricht, aan de voorschriften van deze verordening wordt voldaan, mag de verwerkingsverantwoordelijke, wanneer hij een verwerker verwerkingsactiviteiten toevertrouwt, alleen een beroep doen op verwerkers die voldoende garanties bieden, met name op het gebied van deskundigheid, betrouwbaarheid en middelen, om ervoor te zorgen dat de technische en organisatorische maatregelen beantwoorden aan de voorschriften van deze verordening, mede wat de beveiliging van de verwerking betreft. Het feit dat de verwerker zich aansluit bij een goedgekeurde gedragscode of bij een goedgekeurde certificeringsregeling kan worden gebruikt als een element om aan te tonen dat aan de verplichtingen van de verwerkingsverantwoordelijke wordt voldaan. De uitvoering van de verwerking door een verwerker dient uit hoofde van de Uniewetgeving of nationale wetgeving te worden geregeld in een overeenkomst of een andere rechtshandeling waardoor de verwerker aan de verwerkingsverantwoordelijke gebonden is - die een nadere omschrijving omvat van het onderwerp en de duur van de verwerking, de aard en de doelen van de verwerking, het soort persoonsgegevens en de categorieën van betrokkenen, rekening houdend met de specifieke taken en verantwoordelijkheden van de verwerker in het kader van de te verrichten verwerking en het risico voor de rechten en vrijheden van de betrokkene. De verwerkingsverantwoordelijke en de verwerker kunnen kiezen voor het gebruik van een individuele overeenkomst of modelcontractbepalingen, die hetzij rechtstreeks door de Commissie, hetzij door een toezichthoudende autoriteit in het kader van de conformiteitstoetsing en vervolgens door de Commissie worden vastgesteld. Na de voltooiing van de verwerking ten behoeve van de verwerkingsverantwoordelijke, dient de verwerker - naargelang van de wens van de verwerkingsverantwoordelijke - de persoonsgegevens terug te geven of te wissen, tenzij de wetgeving van de Unie of de nationale wetgeving die op de verwerker van toepassing is, de verplichting oplegt de gegevens op te slaan. (64)(…) (65) Om de naleving van deze verordening aan te kunnen tonen, dient de verwerkingsverantwoordelijke of de verwerker een register bij te houden van verwerkingsactiviteiten die onder zijn verantwoordelijkheid hebben plaatsgevonden. Elke verwerkingsverantwoordelijke en elke verwerker dient ertoe te worden verplicht medewerking te verlenen aan de toezichthoudende autoriteit en dit register desgevraagd te verstrekken met het oog op het gebruik daarvan voor het toezicht op de verwerkingsactiviteiten.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
42
NL
(66) Teneinde de veiligheid te waarborgen en te voorkomen dat de verwerking in strijd is met deze verordening, dient de verwerkingsverantwoordelijke of de verwerker de risico's die de verwerking met zich meebrengt te beoordelen en maatregelen - versleuteling bijvoorbeeld te treffen om deze risico's te beperken. Deze maatregelen dienen een passend niveau van beveiliging, met inbegrip van vertrouwelijkheid, te waarborgen, rekening houdend met de meest geavanceerde methoden en technieken en de uitvoeringskosten afgezet tegen de risico's en de aard van de te beschermen gegevens. Bij de beoordeling van de gegevensbeveiligingsrisico's dient aandacht te worden besteed aan risico's die zich voordoen bij gegevensverwerking, zoals de onrecht-matige vernietiging, het verlies, de wijziging, de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot de doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig, hetgeen met name tot lichamelijk letsel en tot materiële of morele schade kan leiden. (66a) Teneinde de naleving van deze verordening te verbeteren in gevallen waarin de verwerking waarschijnlijk gepaard gaat met hoge risico's voor de rechten en vrijheden van natuurlijke personen, dient de verwerkingsverantwoordelijke of de verwerker verantwoordelijk te zijn voor het verrichten van een gegevensbeschermingseffectbeoordeling om met name de oorsprong, de aard, het specifieke karakter en de ernst van deze risico's te evalueren. Met het resultaat van de beoordeling dient rekening te worden gehouden bij het bepalen van de passende maatregelen die moeten worden genomen om aan te tonen dat deze verordening bij de verwerking van persoonsgegevens wordt nageleefd. Wanneer een gegevensbeschermingseffectbeoordeling uitwijst dat verwerking gepaard gaat met grote risico’s die de verwerkingsverantwoordelijke niet kan beperken door maatregelen die met het oog op de beschikbare technologie en de uitvoeringskosten redelijk zijn, dient vóór de verwerking een raadpleging van de toezichthoudende autoriteit plaats te vinden.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
43
NL
(67) Een inbreuk in verband met persoonsgegevens kan, wanneer dit probleem niet tijdig en op toereikende wijze wordt aangepakt, resulteren in lichamelijk letsel en materiële of morele schade voor natuurlijke personen, zoals verlies van controle over hun persoonsgegevens of de beperking van hun rechten, discriminatie, identiteitsdiefstal of -fraude, financiële verliezen, ongeoorloofde ongedaanmaking van pseudonimisering, reputatieschade, verlies van vertrouwelijkheid van door het beroepsgeheim beschermde gegevens, of enig ander aanzienlijk economisch of maatschappelijk nadeel voor betrokkenen. Daarom moet de verwerkingsverantwoordelijke, zodra hij weet dat een inbreuk in verband met persoonsgegevens heeft plaatsgevonden, zonder onredelijke vertraging en - waar mogelijk - niet meer dan 72 uur nadat hij er kennis van heeft genomen, de inbreuk in verband met persoonsgegevens melden aan de bevoegde toezichthoudende autoriteiten, tenzij de verwerkingsverantwoordelijke conform het verantwoordingsbeginsel kan aantonen dat het niet waarschijnlijk is dat deze inbreuk risico's voor de rechten en vrijheden van natuurlijke personen met zich meebrengt. Wanneer dit niet binnen 72 uur kan worden gerealiseerd, dient de kennisgeving vergezeld te gaan van een verklaring voor de vertraging en kan de informatie - zonder onredelijke verdere vertraging - in fases worden verstrekt. (67a nieuw) Indien de inbreuk in verband met persoonsgegevens waarschijnlijk grote risico's voor de rechten en vrijheden van natuurlijke personen met zich meebrengt, dienen de personen in kwestie zonder onredelijke vertraging op de hoogte te worden gesteld zodat zij de nodige voorzorgsmaatregelen kunnen treffen. De kennisgeving dient zowel de aard van de inbreuk in verband met persoonsgegevens te vermelden als aanbevelingen over hoe de persoon in kwestie mogelijke negatieve gevolgen kan beperken. Betrokkenen dienen zo snel als redelijkerwijs mogelijk is, in nauwe samenwerking met de toezichthoudende autoriteit en met inachtneming van de door haarzelf of andere relevante autoriteiten (zoals rechtshandhavingsautoriteiten) aangereikte richtsnoeren, in kennis te worden gesteld. Zo zouden betrokkenen bijvoorbeeld onverwijld in kennis moeten worden gesteld wanneer een onmiddellijk risico op schade moet worden beperkt, terwijl een langere termijn gerechtvaardigd kan zijn als er passende maatregelen moeten worden genomen tegen aanhoudende of soortgelijke inbreuken.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
44
NL
(68) Nagegaan moet worden of alle passende technische en organisatorische maatregelen zijn genomen om vast te stellen of een inbreuk in verband met persoonsgegevens heeft plaatsgevonden, en om de toezichthoudende autoriteit en de betrokkene daarvan onverwijld in kennis te stellen. Het feit dat de kennisgeving is gedaan zonder onredelijke vertraging moet worden vastgesteld, met name rekening houdend met de aard en de ernst van de inbreuk in verband met persoonsgegevens en de gevolgen en negatieve effecten voor de betrokkene. Die kennisgeving kan ertoe leiden dat de toezichthoudende autoriteit optreedt overeenkomstig haar in deze verordening neergelegde taken en bevoegdheden. (68a) (…) (69) Bij de vaststelling van gedetailleerde regels betreffende de methode en de procedures voor het melden van inbreuken in verband met persoonsgegevens dient de nodige aandacht te worden besteed aan de omstandigheden van de inbreuk, onder meer aan de vraag of de persoonsgegevens al dan niet waren beschermd door adequate technische maatregelen die de kans op identiteitsfraude of andere vormen van misbruik beperkten. Bovendien dient bij dergelijke regels en procedures rekening te worden gehouden met de gerechtvaardigde belangen van de rechtshandhavingsautoriteiten in gevallen waarin vroegtijdige bekendmaking het onderzoek naar de omstandigheden van een inbreuk nodeloos zou hinderen. (70) Richtlijn 95/46/EG voorzag in een algemene verplichting om verwerking van persoonsgegevens aan de toezichthoudende autoriteiten te melden. Deze verplichting leidt tot administratieve en financiële lasten, maar heeft niet in alle gevallen bijgedragen tot betere bescherming van de persoonsgegevens. Deze ongedifferentieerde algemene kennisgevingsverplichtingen dienen derhalve te worden afgeschaft en te worden vervangen door doeltreffende procedures en mechanismen die gericht zijn op de soorten verwerkingsoperaties die naar hun aard, reikwijdte, context en doelen waarschijnlijk grote risico's voor de rechten en vrijheden van natuurlijke personen met zich meebrengen. Deze verwerkingsoperaties kunnen die zijn waarbij met name wordt gebruikgemaakt van nieuwe technologieën, of die nieuw zijn en als er vooraf geen gegevensbeschermingseffectbeoordeling is verricht door de verwerkingsverantwoordelijke, of wanneer zij noodzakelijk worden gelet op de tijd die sinds de eerste verwerking is verstreken.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
45
NL
(70a) In dergelijke gevallen dient de verwerkingsverantwoordelijke voorafgaand aan de verwerking een gegevensbeschermingseffectbeoordeling uit te voeren om de specifieke waarschijnlijkheid en de ernst van deze grote risico's te beoordelen, rekening houdend met de aard, omvang, context en doelen van de verwerking en de bronnen van de risico's, waarbij met name wordt gekeken naar de geplande maatregelen, waarborgen en mechanismen om dat risico te beperken, de persoonsgegevens te beschermen en aan te tonen dat aan deze verordening is voldaan. (71) Dit dient met name te gelden voor grootschalige verwerkingsoperaties die bedoeld zijn voor het verwerken van een aanzienlijke hoeveelheid persoonsgegevens op regionaal, nationaal of supranationaal niveau, waarvan een groot aantal betrokkenen gevolgen zou kunnen ondervinden en die bijvoorbeeld vanwege hun gevoelige aard een hoog risico met zich mee kunnen brengen, wanneer conform het bereikte niveau van technologische kennis een nieuwe technologie op grote schaal wordt gebruikt, alsmede voor andere verwerkingen die een groot risico voor de rechten en vrijheden van de betrokkenen inhouden, met name wanneer betrokkenen als gevolg van die verwerkingen hun rechten moeilijker kunnen uitoefenen. Een gegevensbeschermingseffectbeoordeling dient ook te worden gemaakt in gevallen waarin gegevens worden verwerkt met het oog op het nemen van besluiten met betrekking tot specifieke natuurlijke personen na een systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen die is gebaseerd op de profilering van deze gegevens, of na de verwerking van bijzondere categorieën van persoonsgegevens, biometrische gegevens, of gegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen. Een gegevensbeschermingseffectbeoordeling is tevens nodig voor de bewaking op grote schaal van openbaar toegankelijke ruimten, met name wanneer optisch-elektronische apparatuur wordt gebruikt, of voor alle andere verwerkingen wanneer de bevoegde toezichthoudende autoriteit oordeelt dat zij waarschijnlijk een groot risico inhouden voor de rechten en vrijheden van betrokkenen, met name omdat betrokkenen als gevolg van deze verwerkingen een recht niet kunnen uitoefenen of geen beroep kunnen doen op een dienst of een overeenkomst, of omdat deze verwerkingen systematisch op grote schaal worden uitgevoerd. De verwerking van persoonsgegevens moet niet als een grootschalige verwerking worden beschouwd als het gaat om de verwerking van persoonsgegevens van patiënten of cliënten door een individuele arts, een zorgprofessional of door een advocaat. In die gevallen moet een gegevensbeschermingseffectbeoordeling niet verplicht worden gesteld. 15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
46
NL
(72) Onder bepaalde omstandigheden kan het verstandig en nuttig zijn dat de gegevensbeschermingseffectbeoordeling zich niet beperkt tot een enkel project, bijvoorbeeld wanneer overheidsinstanties of -lichamen een gemeenschappelijk applicatie- of verwerkingsplatform willen opzetten of wanneer meerdere verwerkingsverantwoordelijken van plan zijn een gemeenschappelijke applicatie- of verwerkingsomgeving in te voeren voor een hele bedrijfstak, of een segment daarvan, of voor een gangbare horizontale activiteit. (73) In het kader van de vaststelling van de nationale wet waarop de vervulling van de taken van de overheidsinstantie of het overheidslichaam is gebaseerd, en waarin de specifieke verwerking of reeks verwerkingen wordt geregeld, kunnen de lidstaten het noodzakelijk achten een dergelijke beoordeling uit te voeren voordat met de verwerking wordt begonnen. (74) Wanneer een gegevensbeschermingseffectbeoordeling uitwijst dat de verwerking, bij afwezigheid van de voorgenomen waarborgen, beveiligingsmaatregelen en risicobeperkende mechanismen, met een hoog risico voor de rechten en vrijheden van natuurlijke personen gepaard zou gaan, en de verwerkingsverantwoordelijke van mening is dat het niet mogelijk is dat risico te beperken door middel van maatregelen die met het oog op de beschikbare technologie en uitvoeringskosten redelijk zijn, dient de toezichthoudende autoriteit voordat met de verwerking wordt begonnen te worden geraadpleegd. Een dermate hoog risico doet zich wellicht voor bij bepaalde soorten gegevensverwerking en de omvang en frequentie van de verwerking, hetgeen kan leiden tot schade of aantasting van de rechten en vrijheden van natuurlijke personen. De toezichthoudende autoriteit dient binnen een vastgestelde termijn op het verzoek om raadpleging te reageren. Het uitblijven van een reactie van de toezichthoudende autoriteit binnen deze termijn dient evenwel een optreden van de toezichthoudende autoriteit overeenkomstig haar in deze verordening neergelegde taken en bevoegdheden onverlet te laten, onder meer de bevoegdheid om verwerkingsoperaties te verbieden. Als onderdeel van deze raadplegingsprocedure kan het resultaat van een gegevensbeschermingseffectbeoordeling die overeenkomstig artikel 33 voor de verwerking in kwestie wordt uitgevoerd, aan de toezichthoudende autoriteit worden voorgelegd, meer bepaald wat betreft de voorgenomen maatregelen om het risico voor de rechten en vrijheden van natuurlijke personen te beperken.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
47
NL
(74a) De verwerker dient de verwerkingsverantwoordelijke, indien nodig en op verzoek, bij te staan om ervoor te zorgen dat de verplichtingen ingevolge de uitvoering van gegevensbeschermingseffectbeoordelingen en voorafgaande raadpleging van de toezichthoudende autoriteit worden nagekomen. (74b) De toezichthoudende autoriteit dient tevens te worden geraadpleegd tijdens de voorbereiding van een wetgevings- of regelgevingsmaatregel houdende verwerking van persoonsgegevens, om ervoor te zorgen dat de voorgenomen verwerking strookt met deze verordening, en met name om de risico's daarvan voor betrokkenen te beperken. (75) Indien de verwerking door een overheidsinstantie wordt uitgevoerd - met uitzondering van rechterlijke instanties of onafhankelijke gerechtelijke autoriteiten die handelen in het kader van hun gerechtelijke taken - of indien, in de particuliere sector, de verwerking door een verwerkingsverantwoordelijke wordt uitgevoerd die als kerntaak heeft verwerkingsactiviteiten uit te voeren die regelmatige en systematische observatie van betrokkenen vereisen, dient een persoon met deskundige kennis van gegevensbeschermingswetgeving en -praktijken de verwerkingsverantwoordelijke of de verwerker bij te staan bij het toezicht op de interne naleving van deze verordening. In de particuliere sector hebben de kerntaken van een verwerkingsverantwoordelijke betrekking op diens primaire activiteiten en niet op de verwerking van persoonsgegevens als nevenactiviteit. Het vereiste niveau van deskundigheid dient met name te worden bepaald op grond van de uitgevoerde gegevensverwerkingsactiviteiten en de bescherming die voor de door de verwerkingsverantwoordelijke of de verwerker verwerkte gegevens vereist is. Dergelijke functionarissen voor gegevensbescherming dienen in staat te zijn hun taken en verplichtingen onafhankelijk te vervullen, ongeacht of zij in dienst zijn van de verwerkingsverantwoordelijke. (76) Verenigingen en andere organen die categorieën van de verwerkingsverantwoordelijken of verwerkers vertegenwoordigen, dienen te worden aangemoedigd om gedragscodes op te stellen, binnen de grenzen van deze verordening, teneinde de doeltreffende uitvoering van deze verordening te bevorderen, rekening houdend met het specifieke karakter van de verwerkingen in sommige sectoren en de specifieke behoeften van micro-, kleine en middelgrote ondernemingen. Deze gedragscodes zouden met name het ijkpunt kunnen zijn voor de verplichtingen van verwerkingsverantwoordelijken en verwerkers, rekening houdend met de aan de verwerking verbonden risico's voor de rechten en vrijheden van natuurlijke personen. 15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
48
NL
(76a) Bij de opstelling van een gedragscode, of bij wijziging of uitbreiding van een dergelijke code, moeten verenigingen en andere organen die categorieën van verwerkingsverantwoordelijken of verwerkers vertegenwoordigen, overleg plegen met de belanghebbenden ter zake, waaronder waar mogelijk met betrokkenen, en rekening houden met bijdragen en standpunten naar aanleiding van dit overleg. (77) Teneinde de transparantie en naleving van deze verordening te versterken, dient het instellen van certificeringsmechanismen en gegevensbeschermingszegels en -merktekens te worden bevorderd, zodat betrokkenen snel het gegevensbeschermingsniveau van producten en diensten ter zake kunnen beoordelen. (78) Grensoverschrijdend verkeer van persoonsgegevens naar en vanuit landen buiten de Unie en internationale organisaties is noodzakelijk voor de ontwikkeling van het internationale handelsverkeer en de internationale samenwerking. De groei van dit verkeer brengt nieuwe uitdagingen en aandachtspunten met zich mee wat de bescherming van persoonsgegevens betreft. Wanneer persoonsgegevens echter van de Unie aan verwerkingsverantwoordelijken, verwerkers of andere ontvangers in derde landen of internationale organisaties worden doorgegeven, mag dit niet ten koste gaan van het beschermingsniveau waarvan natuurlijke personen in de Unie door deze verordening verzekerd zijn, ook in gevallen van verdere doorgiften van persoonsgegevens van het derde land of de internationale organisatie aan verwerkingsverantwoordelijken, verwerkers in hetzelfde of een ander derde land, c.q. dezelfde of een andere internationale organisatie. Doorgifte aan derde landen en internationale organisaties mag in ieder geval alleen plaatsvinden in volledige overeenstemming met deze verordening. Een doorgifte mag alleen plaatsvinden indien, onder voorbehoud van de andere bepalingen van deze verordening, de verwerkingsverantwoordelijke of de verwerker de voorwaarden in hoofdstuk V naleeft. (79) Deze verordening doet geen afbreuk aan internationale overeenkomsten die de Unie en derde landen met elkaar hebben gesloten om de doorgifte van persoonsgegevens te regelen en waarin passende waarborgen voor de betrokkenen zijn opgenomen. De lidstaten kunnen internationale overeenkomsten sluiten over de doorgifte van persoonsgegevens naar derde landen of internationale organisaties, op voorwaarde dat dergelijke overeenkomsten deze verordening of andere bepalingen van de EU-wetgeving onverlet laten en een adequaat beschermingsniveau bieden voor de grondrechten van de betrokkenen.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
49
NL
(80) De Commissie kan besluiten, met rechtskracht voor de gehele Unie, dat bepaalde derde landen, of een gebied of een welbepaalde sector in een derde land, of een internationale organisatie een adequaat niveau van gegevensbescherming bieden, en daarmee in de gehele Unie rechtszekerheid en eenvormigheid verschaffen ten aanzien van derde landen of internationale organisaties die geacht worden een dergelijk beschermingsniveau te bieden. In zulke gevallen mogen persoonsgegevens naar de betrokken landen worden doorgegeven zonder dat verdere toestemming noodzakelijk is. De Commissie kan eveneens besluiten om, nadat zij het derde land daarvan in kennis heeft gesteld en haar beweegredenen volledig heeft toegelicht, een dergelijk besluit in te trekken. (81) Overeenkomstig de fundamentele waarden waarop de Unie is gegrondvest, in het bijzonder de bescherming van de mensenrechten, dient de Commissie bij haar beoordeling van het derde land of van een grondgebied of een specifieke verwerkingssector binnen een derde land, in aanmerking te nemen in welke mate de rechtsstaat, de toegang tot de rechter en de internationale mensenrechtennormen en -regels in het derde land worden geëerbiedigd, en dient zij de algemene en sectorale wetgeving, waaronder de wetgeving betreffende openbare veiligheid, defensie en nationale veiligheid en openbare orde en strafrecht, van het land in aanmerking te nemen. Bij de vaststelling van een besluit waarbij het beschermingsniveau passend wordt verklaard voor een grondgebied of een specifieke sector in een derde land, moeten er duidelijke en objectieve criteria worden vastgesteld, zoals specifieke verwerkingsactiviteiten en het toepassingsgebied van de geldende wettelijke normen en wetgeving in het derde land. Het derde land dient garanties te bieden die een adequaat beschermingsniveau waarborgen, in feite overeenkomend met het niveau dat in de Unie wordt verzekerd, vooral wanneer gegevens in één of meer specifieke sectoren worden verwerkt. Het derde land dient met name te zorgen voor effectief en onafhankelijk toezicht op de gegevensbescherming en voor mechanismen van samenwerking met de Europese autoriteiten op het gebied van gegevensbescherming. Voorts dienen de betrokkenen te beschikken over daadwerkelijke en afdwingbare rechten en daadwerkelijk administratief beroep en beroep in rechte te kunnen instellen.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
50
NL
(81a) Afgezien van de internationale verplichtingen die het derde land of de internationale organisatie is aangegaan, dient de Commissie ook rekening te houden met de verplichtingen die voortvloeien uit de deelneming van het derde land of de internationale organisatie aan multilaterale of regionale regelingen, in het bijzonder wat de bescherming van persoonsgegevens betreft, alsook met de uitvoering van deze verplichtingen. Er dient met name rekening te worden gehouden met de toetreding van het derde land tot het Verdrag van de Raad van Europa van 28 januari 1981 tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens en het bijbehorende Aanvullend Protocol. Bij de beoordeling van het beschermingsniveau in derde landen of internationale organisaties dient de Commissie overleg te plegen met het Europees Comité voor gegevensbescherming. (81b) De Commissie dient toe te zien op het functioneren van de besluiten over het beschermingsniveau in een derde land of een gebied of welbepaalde sector in een derde land of in een internationale organisatie, daaronder begrepen de besluiten die zijn genomen op grond van artikel 25, lid 6, of artikel 26, lid 4, van Richtlijn 95/46/EG. De Commissie dient in haar adequaatheidsbesluiten waarbij het beschermingsniveau passend wordt verklaard een periodiek toetsingsmechanisme voor het functioneren ervan op te nemen. Deze periodieke toetsing dient in overleg met het derde land of de internationale organisatie in kwestie te worden uitgevoerd en moet rekening houden met alle relevante ontwikkelingen in het derde land of de internationale organisatie. Met het oog op het toezicht en het uitvoeren van de periodieke toetsingen, dient de Commissie rekening te houden met de opvattingen en bevindingen van het Europees Parlement en de Raad, evenals met andere relevante organisaties en bronnen. De Commissie moet binnen een redelijke termijn de werking van laatstgenoemde besluiten evalueren en alle relevante vaststellingen rapporteren aan het comité in de zin van Verordening (EU) nr. 182/2011, als opgericht uit hoofde van de onderhavige verordening, aan het Europees Parlement en aan de Raad.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
51
NL
(82) De Commissie kan vaststellen dat een derde land, een gebied of een bepaalde verwerkingssector in een derde land, of een internationale organisatie geen passend beschermingsniveau meer waarborgt. De doorgifte van persoonsgegevens naar dat derde land of die internationale organisatie dient dan te worden verboden, tenzij aan de vereisten van de artikelen 42 tot en met 44 wordt voldaan. Er dient te worden geregeld dat er in die gevallen overleg plaatsvindt tussen de Commissie en de betrokken derde landen of internationale organisaties. De Commissie moet het derde land of de internationale organisatie tijdig op de hoogte brengen van haar motivering en met de andere partij in overleg treden om de situatie te verhelpen. (83) Indien er geen besluit is genomen waarbij het beschermingsniveau passend wordt verklaard, dient de verwerkingsverantwoordelijke of de verwerker maatregelen te nemen om het ontoereikende niveau van gegevensbescherming in een derde land te verhelpen door middel van passende waarborgen voor de betrokkene. Dergelijke passende waarborgen kunnen erin bestaan gebruik te maken van bindende bedrijfsvoorschriften, modelbepalingen inzake gegevensbescherming die zijn vastgesteld door de Commissie, modelbepalingen inzake gegevensbescherming die zijn vastgesteld door een toezichthoudende autoriteit of contractbepalingen die zijn goedgekeurd door een toezichthoudende autoriteit. Die waarborgen moeten de naleving van gegevensbeschermingsvereisten en de geldende rechten van de betrokkenen voor verwerkingen binnen de EU waarborgen, waaronder de beschikbaarheid van afdwingbare rechten van betrokkenen en van doeltreffende rechtsmiddelen, zoals het instellen van administratief beroep of beroep in rechte en het eisen van een vergoeding in de Unie of in een derde land. Zij moeten met name betrekking hebben op de naleving van de algemene beginselen inzake de verwerking van persoonsgegevens, de beginselen van gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen. Doorgiften kunnen ook worden verricht door overheidsinstanties of -lichamen met overheidsinstanties of -lichamen in derde landen of met internationale organisaties met overeenkomstige taken en functies, ook op basis van bepalingen die moeten worden opgenomen in administratieve regelingen, zoals een memorandum van overeenstemming met afdwingbare en bruikbare rechten voor betrokkenen. De toestemming van de bevoegde toezichthoudende autoriteit zou moeten worden verkregen wanneer de waarborgen worden geboden in niet juridisch bindende administratieve regelingen.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
52
NL
(84) Dat de verwerkingsverantwoordelijke of de verwerker gebruik kan maken van modelbepalingen inzake gegevensbescherming die zijn vastgesteld door de Commissie of een toezichthoudende autoriteit, dient niet in te houden dat hij de modelbepalingen inzake gegevensbescherming niet in een bredere overeenkomst mag opnemen, waaronder een overeenkomst tussen de verwerker en een andere verwerker, of geen andere bepalingen of extra waarborgen mag toevoegen, mits deze niet direct of indirect in tegenspraak zijn met de door de Commissie of een toezichthoudende autoriteit vastgestelde modelcontractbepalingen en geen afbreuk doen aan de grondrechten of de fundamentele vrijheden van de betrokkenen. Verwerkingsverantwoordelijken en verwerkers moeten worden aangemoedigd om via contractuele verplichtingen meer waarborgen te bieden in aanvulling op de standaardclausules inzake gegevensbescherming. (85) Een bedrijfsconcern of een groep van ondernemingen die een gezamenlijke economische activiteit beoefent, dient voor zijn internationale doorgiften uit de Unie naar organisaties binnen hetzelfde bedrijfsconcern of dezelfde groep van ondernemingen te kunnen gebruikmaken van goedgekeurde bindende bedrijfsvoorschriften, mits daarin alle essentiële beginselen en afdwingbare rechten zijn vastgelegd die passende waarborgen bieden ten aanzien van de doorgifte of categorieën van doorgiften van persoonsgegevens. (86) Doorgifte dient mogelijk te zijn in bepaalde gevallen waarin de betrokkene daartoe uitdrukkelijk toestemming heeft gegeven, wanneer de doorgifte incidenteel en noodzakelijk is in het kader van een overeenkomst of van een rechtsvordering, ongeacht of het een gerechtelijke of een administratieve of buitengerechtelijke procedure betreft, waaronder procedures bij regelgevingsinstanties. Doorgifte dient ook mogelijk te zijn wanneer in de wetgeving van de Unie of van de lidstaat vastgelegde gewichtige redenen van algemeen belang zulks vereisen, of wanneer het gaat om een doorgifte uit een bij de wet ingesteld register dat bedoeld is voor raadpleging door het publiek of personen met een gerechtvaardigd belang. In het laatste geval dient bij een dergelijke doorgifte niet de totaliteit van de in dit register opgenomen gegevens of categorieën van gegevens te worden verstrekt; wanneer een register bedoeld is voor raadpleging door personen met een gerechtvaardigd belang, dient de doorgifte slechts plaats te vinden op verzoek van deze personen of wanneer de gegevens voor hen zijn bestemd, waarbij ten volle rekening wordt gehouden met de belangen en de grondrechten van de betrokkene.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
53
NL
(87) Deze afwijkingen dienen met name te gelden voor gegevensdoorgiften die nodig zijn op grond van gewichtige redenen van algemeen belang, zoals internationale gegevensuitwisselingen tussen mededingingsautoriteiten, belasting- of douanediensten, financiële toezichthoudende autoriteiten, diensten met bevoegdheid op het gebied van de sociale zekerheid of de volksgezondheid, bijvoorbeeld in geval van opsporing van contacten in het kader van de bestrijding van besmettelijke ziekten of met het oog op de terugdringing en/of uitbanning van doping in de sport. Doorgifte van persoonsgegevens dient ook als rechtmatig te worden beschouwd wanneer deze nodig is voor de bescherming van een belang dat essentieel is voor de vitale belangen van de betrokkene of een andere persoon, daaronder begrepen diens fysieke integriteit of leven, indien de betrokkene niet in staat is zijn toestemming te geven. Bij ontstentenis van een besluit waarbij het beschermingsniveau passend wordt verklaard kan de Unie-wetgeving of de nationale wetgeving om gewichtige redenen van algemeen belang uitdrukkelijk grenzen stellen aan de doorgifte van specifieke categorieën van gegevens naar een derde land of een internationale organisatie. De lidstaten moeten dergelijke bepalingen aan de Commissie mededelen. Iedere doorgifte aan een internationale humanitaire organisatie van persoonsgegevens van een betrokkene die lichamelijk of juridisch niet in staat is toestemming te geven, kan, indien zij plaatsvindt met het oog op het uitvoeren van een opdracht die krachtens de Verdragen van Genève en/of met het oog op het waarborgen van de getrouwe toepassing van het internationaal humanitair recht in gewapende conflicten, worden beschouwd als noodzakelijk in het kader van een gewichtige reden van algemeen belang of een reden van vitaal belang voor de betrokkene. (88) Doorgiften die als niet repetitief kunnen worden omschreven en slechts een klein aantal betrokkenen betreffen, dienen ook mogelijk te zijn voor de behartiging van overtuigende gerechtvaardigde belangen van de verwerkingsverantwoordelijke, wanneer de belangen of de rechten en vrijheden van de betrokkene niet prevaleren boven die belangen en wanneer de verwerkingsverantwoordelijke alle omstandigheden in verband met de gegevensdoorgifte heeft beoordeeld. De verwerkingsverantwoordelijke schenkt bijzondere aandacht aan de aard van de gegevens, het doel en de duur van de voorgestelde verwerking of verwerkingen, alsmede aan de situatie in het land van herkomst, het derde land en het land van de uiteindelijke bestemming en, indien nodig, aan de geboden passende waarborgen ter bescherming van de grondrechten en de fundamentele vrijheden van natuurlijke personen in verband met de verwerking van hun persoonsgegevens. Zulke doorgiften zijn alleen mogelijk in restgevallen waarbij de overige gronden voor doorgifte niet van toepassing zijn. Met het oog op wetenschappelijk of historisch onderzoek of statistische doelen dient rekening te worden gehouden met de gerechtvaardigde verwachting van de maatschappij dat er sprake is van vermeerdering van kennis. De verwerkingsverantwoordelijke dient de toezichthoudende autoriteit en de betrokkene van de doorgifte op de hoogte te stellen. 15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
54
NL
(89) Wanneer de Commissie niet heeft besloten of het niveau van gegevensbescherming in een derde land adequaat is, dient de verwerkingsverantwoordelijke of de verwerker hoe dan ook gebruik te maken van middelen die de betrokkenen ook na de doorgifte van hun gegevens afdwingbare en bruikbare rechten in de Unie verlenen met betrekking tot de verwerking ervan opdat zij de grondrechten en waarborgen kunnen blijven genieten. (90) Sommige derde landen stellen wetten, bestuursrechtelijke bepalingen en andere rechtsvoorschriften vast waarmee wordt beoogd de gegevensverwerkingsactiviteiten van natuurlijke personen en rechtspersonen die onder de jurisdictie van de lidstaten vallen, rechtstreeks te regelen. Hierbij kan het onder meer gaan om rechterlijke beslissingen of besluiten van administratieve instanties van derde landen die van de verwerkingsverantwoordelijke of de verwerker verlangen dat hij persoonsgegevens doorgeeft of verstrekt, en die niet zijn gestoeld op geldende internationale overeenkomsten - zoals een verdrag inzake wederzijds rechtshulp tussen het verzoekende derde land en de Unie of de betrokken lidstaat. De extraterritoriale toepassing van deze wetten, bestuursrechtelijke bepalingen en andere rechtsvoorschriften kan in strijd zijn met het internationaal recht en een belemmering vormen voor de bij deze verordening gegarandeerde bescherming van natuurlijke personen in de Unie. Doorgiften dienen alleen te kunnen plaatsvinden wanneer wordt voldaan aan de voorwaarden die in deze verordening worden gesteld aan doorgifte aan derde landen. Dit kan onder meer het geval zijn wanneer verstrekking nodig is voor een algemeen belang dat erkend is in de Uniewetgeving of in het recht van de lidstaat waarvan de verwerkingsverantwoordelijke onderdaan is.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
55
NL
(91) Bij grensoverschrijdend verkeer van persoonsgegevens naar landen buiten de Unie kan het voor natuurlijke personen moeilijker worden hun gegevensbeschermingsrechten uit te oefenen, met name teneinde zich te beschermen tegen onrechtmatig gebruik of onrechtmatige verstrekking van die informatie. Bovendien kan het voor toezichthoudende autoriteiten onmogelijk worden klachten te behandelen of onderzoek te verrichten met betrekking tot activiteiten in het buitenland. Daarnaast kunnen hun mogelijkheden tot grensoverschrijdende samenwerking worden belemmerd door ontoereikende preventieve of corrigerende bevoegdheden, inconsistente rechtskaders en praktische obstakels, zoals beperkte middelen. Daarom dient nauwere samenwerking tussen de toezichthoudende autoriteiten op het gebied van gegevensbescherming te worden bevorderd met het oog op de uitwisseling van informatie met soortgelijke instanties in het buitenland. Met het oog op de ontwikkeling van internationale samenwerkingsmechanismen om bij de handhaving van de wetgeving inzake de bescherming van persoonsgegevens internationale wederzijdse bijstand te faciliteren en te verlenen, moeten de Commissie en de toezichthoudende autoriteiten bij activiteiten op het gebied van de uitoefening van hun bevoegdheden informatie uitwisselen en samenwerken met bevoegde autoriteiten in derde landen, op basis van wederkerigheid en overeenkomstig de bepalingen van deze verordening, waaronder die in hoofdstuk V. (92) Het is voor de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens van wezenlijk belang dat in elke lidstaat een toezichthoudende autoriteit wordt ingesteld die bevoegd is haar taken en bevoegdheden volstrekt onafhankelijk uit te oefenen. De lidstaten hebben de mogelijkheid om in overeenstemming met hun constitutionele, organisatorische en bestuurlijke structuur meer dan één toezichthoudende autoriteit in te stellen. (92a) De onafhankelijkheid van de toezichthoudende autoriteiten houdt niet in dat de toezichthoudende autoriteiten niet kunnen worden onderworpen aan een controle- of toezichtsmechanisme betreffende hun financiële uitgaven. Zij houdt evenmin in dat toezichthoudende autoriteiten niet kunnen worden onderworpen aan rechterlijke toetsing.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
56
NL
(93) Wanneer een lidstaat meerdere toezichthoudende autoriteiten instelt, dient die lidstaat bij wet mechanismen in te stellen om ervoor te zorgen dat de toezichthoudende autoriteiten effectief deelnemen aan de conformiteitstoetsing. De betrokken lidstaat dient met name de toezichthoudende autoriteit aan te wijzen die optreedt als enig contactpunt voor de effectieve deelname van die autoriteiten aan de toetsing, teneinde een vlotte en soepele samenwerking met andere toezichthoudende autoriteiten, het Europees Comité voor gegevensbescherming en de Commissie te verzekeren. (94) Iedere toezichthoudende autoriteit dient te beschikken over de financiële en personele middelen en de dienstruimten en infrastructuur die noodzakelijk zijn om haar taken, waaronder die in het kader van wederzijdse bijstand en samenwerking met andere toezichthoudende autoriteiten in de Unie, effectief uit te voeren. Iedere toezichthoudende autoriteit dient over een eigen, openbare jaarlijkse begroting te beschikken, die deel kan uitmaken van de algemene staats- of nationale begroting. (95) De algemene voorwaarden voor de leden van de toezichthoudende autoriteit dienen in elke lidstaat bij wet te worden vastgesteld en dienen met name te bepalen dat de leden hetzij door het parlement en/of de regering of het staatshoofd van de lidstaat worden benoemd op voordracht van de regering, een lid van de regering, het parlement of haar kamer, hetzij door een onafhankelijke instantie die bij nationale wetgeving middels een transparante procedure met de benoeming is belast. Teneinde de onafhankelijkheid van de toezichthoudende autoriteit te waarborgen, dienen de leden van de toezichthoudende autoriteit integer te handelen, zich te onthouden van alle handelingen die onverenigbaar zijn met hun taken en gedurende hun ambtstermijn geen al dan niet bezoldigde beroepswerkzaamheden te verrichten die onverenigbaar zijn met hun taken. De toezichthoudende autoriteit dient over eigen personeelsleden te beschikken, geselecteerd door de toezichthoudende autoriteit of een bij nationale wetgeving ingestelde onafhankelijke instantie die bij uitsluiting onder leiding van de leden van de toezichthoudende autoriteit zal staan.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
57
NL
(95a) Elke toezichthoudende autoriteit dient op het grondgebied van haar lidstaat bevoegd te zijn om de bevoegdheden en taken uit te oefenen die haar overeenkomstig deze verordening zijn toegekend. Daaronder dienen met name te vallen: de verwerking in het kader van de activiteiten van een vestiging van de verwerkingsverantwoordelijke of de verwerker op het grondgebied van zijn eigen lidstaat, de verwerking van persoonsgegevens door overheidsinstanties of particuliere organen die optreden in het algemeen belang, verwerking die gevolgen heeft voor betrokkenen op haar grondgebied, of verwerking, door een niet in de Europese Unie gevestigde verwerkingsverantwoordelijke of verwerker, gericht op betrokkenen die op haar grondgebied verblijven. Ook het behandelen van door een betrokkene ingediende klachten, het evalueren van de toepassing van de verordening, het beter bekend maken van het brede publiek met de risico's, voorschriften, waarborgen en de rechten in verband met de verwerking van persoonsgegevens dienen daaronder te vallen. (96) De toezichthoudende autoriteiten dienen toezicht te houden op de toepassing van de krachtens deze richtlijn vastgestelde bepalingen en bij te dragen tot de consequente toepassing daarvan in de gehele Unie, teneinde natuurlijke personen te beschermen in verband met de verwerking van hun persoonsgegevens en het vrije verkeer van persoonsgegevens binnen de interne markt te vergemakkelijken. Daarom dienen de toezichthoudende autoriteiten met elkaar en met de Commissie samen te werken, zonder dat er een akkoord tussen de lidstaten nodig is over het verstrekken van wederzijdse bijstand of over zulke samenwerking.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
58
NL
(97) Wanneer de verwerking van persoonsgegevens in het kader van de activiteiten van een vestiging van een verwerkingsverantwoordelijke of een verwerker in Unie plaatsvindt en de werkingsverantwoordelijke of de verwerker in meer dan één lidstaat is gevestigd, of wanneer de verwerking die in het kader van de activiteiten van een enkele vestiging van een verwerkingsverantwoordelijke of een verwerker in Unie plaatsvindt, wezenlijke gevolgen heeft of waarschijnlijk wezenlijke gevolgen zal hebben voor betrokkenen in meer dan één lidstaat, dient de toezichthoudende autoriteit van de hoofdvestiging van de verwerkingsverantwoordelijke of verwerker of van de ene vestiging van de verwerkingsverantwoordelijke of verwerker als de leidende toezichthoudende autoriteit op te treden. Zij dient met de andere betrokken toezichthoudende autoriteiten samen te werken, omdat de verwerkingsverantwoordelijke of de verwerker een vestiging op het grondgebied van hun lidstaat heeft, omdat op hun grondgebied verblijvende betrokkenen wezenlijk worden geraakt, of omdat er bij hen een klacht is ingediend. Wanneer een niet in die lidstaat verblijvende betrokkene een klacht heeft ingediend, dient de toezichthoudende autoriteit waarbij die klacht is ingediend, ook een betrokken toezichthoudende autoriteit te worden. In het kader van zijn taken om richtsnoeren betreffende vragen over de toepassing van deze verordening uit te vaardigen, kan het Europees Comité voor gegevensbescherming richtsnoeren uitvaardigen, met name over de in aanmerking te nemen criteria om na te gaan of de verwerking in kwestie wezenlijke gevolgen heeft voor betrokkenen in meer dan één lidstaat, alsmede over wat een relevant en gemotiveerd bezwaar vormt. (97a) De leidende toezichthoudende autoriteit moet bevoegd zijn om bindende besluiten vast te stellen betreffende maatregelen ter toepassing van de overeenkomstig de bepalingen van deze verordening aan haar toegekende bevoegdheden. In haar hoedanigheid van leidende toezichthoudende autoriteit, moet de toezichthoudende autoriteit de betrokken toezichthoudende autoriteiten nauw betrekken en coördineren in het besluitvormingsproces. Wanneer wordt besloten om de klacht van de betrokkene geheel of gedeeltelijk te verwerpen, moet dat besluit worden vastgesteld door de toezichthoudende autoriteit bij wie de klacht is ingediend. (97b) Het besluit dient gezamenlijk door de leidende toezichthoudende autoriteit en de betrokken toezichthoudende autoriteiten te worden goedgekeurd, gericht te zijn aan de voornaamste of enige vestiging van de verwerkingsverantwoordelijke of de verwerker en bindende gevolgen te hebben voor de verwerkingsverantwoordelijke of de verwerker. De verwerkingsverantwoordelijke of de verwerker dient de nodige maatregelen te treffen om deze verordening na te leven en om het door de leidende toezichthoudende autoriteit aan de hoofdvestiging van de verwerkingsverantwoordelijke of de verwerker meegedeelde besluit betreffende de verwerkingsactiviteiten in de Unie uit te voeren.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
59
NL
(97c) Elke toezichthoudende autoriteit die niet optreedt als leidende toezichthoudende autoriteit, dient bevoegd te zijn in lokale gevallen waarbij de verwerkingsverantwoordelijke of de verwerker in meer dan één lidstaat is gevestigd, maar waarbij het onderwerp van de specifieke verwerking alleen een in een enkele lidstaat verrichte verwerking betreft en daarbij alleen personen uit die ene lidstaat zijn betrokken (bijvoorbeeld wanneer het de verwerking van werknemersgegevens in de specifieke arbeidsmarktcontext van een lidstaat betreft). In dergelijke gevallen dient de toezichthoudende autoriteit de leidende toezichthoudende autoriteit onverwijld van de zaak in kennis te stellen. Nadat zij op de hoogte is gesteld, dient de leidende toezichthoudende autoriteit te besluiten of zij de zaak in het kader van het éénloketmechanisme zal behandelen overeenkomstig artikel 54a, dan wel of de toezichthoudende autoriteit die haar van de zaak in kennis heeft gesteld, deze op lokaal niveau dient te behandelen. Wanneer de leidende toezichthoudende autoriteit besluit of zij de zaak al dan niet zal behandelen, dient zij rekening te houden met het al dan niet bestaan van een vestiging van de verwerkingsverantwoordelijke of de verwerker in de lidstaat van de toezichthoudende autoriteit die haar in kennis heeft gesteld, opdat kan worden gegarandeerd dat een beslissing daadwerkelijk ten uitvoer wordt gelegd ten aanzien van de verwerkingsverantwoordelijke of de verwerker. Wanneer de leidende toezichthoudende autoriteit besluit de zaak te behandelen, dient de toezichthoudende autoriteit die haar in kennis heeft gesteld, de mogelijkheid te hebben een ontwerp van besluit in te dienen, en dient de leidende toezichthoudende autoriteit daarmee maximaal rekening te houden wanneer zij haar ontwerpbesluit in het kader van het één-loketmechanisme overeenkomstig artikel 54a opstelt. (98) De voorschriften betreffende de leidende toezichthoudende autoriteit en het één-loketmechanisme overeenkomstig artikel 54a gelden niet wanneer de verwerking door overheidsinstanties of particuliere organen in het algemeen belang wordt verricht. In die gevallen dient de toezichthoudende autoriteit van de lidstaat waar de overheidsinstantie of het particuliere orgaan is gevestigd, de enige overeenkomstig deze verordening bevoegde toezichthoudende autoriteit te zijn. (99)(…)
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
60
NL
(100) Met het oog op een consequent toezicht en eenvormige handhaving van deze verordening in de gehele Unie dienen de toezichthoudende autoriteiten in alle lidstaten dezelfde taken en feitelijke bevoegdheden te hebben, waaronder de bevoegdheden om onderzoek te verrichten, corrigerende maatregelen te nemen en sancties op te leggen, machtiging te verlenen en adviezen te verstrekken, in het bijzonder bij klachten van natuurlijke personen, en om, onverminderd de bevoegdheden die aan de met vervolging belaste autoriteiten conform de nationale wetgeving zijn toegekend, inbreuken op deze verordening ter kennis van de gerechtelijke autoriteiten te brengen en/of gerechtelijke procedures aan te spannen. Tot die bevoegdheden dient ook de bevoegdheid te behoren om een tijdelijke of definitieve beperking van de verwerking - waaronder een verwerkingsverbod - voor de verwerking op te leggen. De lidstaten kunnen krachtens deze verordening andere aan de bescherming van persoonsgegevens verwante taken specificeren. De bevoegdheden van de toezichthoudende autoriteiten moeten overeenkomstig passende in de uniale en nationale wetgeving bepaalde procedurele waarborgen, onpartijdig, eerlijk en binnen een redelijke termijn worden uitgeoefend. Elke maatregel dient met name passend, noodzakelijk en evenredig te zijn met het oog op naleving van deze verordening en rekening houdend met de omstandigheden van elk individueel geval, het recht van iedere persoon te eerbiedigen om vóór het nemen van enige individuele maatregel die voor hem nadelige gevolgen zou hebben te worden gehoord, en overbodige kosten en buitensporige ongemakken voor de betrokken personen te vermijden. Onderzoeksbevoegdheden betreffende toegang tot terreinen moeten overeenkomstig de specifieke nationale procesrechtelijke voorschriften, zoals een verplichte voorafgaande toestemming van een rechterlijke instantie, worden uitgeoefend. Elke juridisch bindende maatregel van de toezichthoudende autoriteit dient schriftelijk, duidelijk en ondubbelzinnig te zijn, de toezichthoudende autoriteit die de maatregel heeft uitgevaardigd en de datum van uitvaardiging te vermelden, door het hoofd of een door het hoofd gemachtigd lid van de toezichthoudende autoriteit ondertekend te zijn, de redenen voor de maatregel te bevatten en naar het recht op een doeltreffende voorziening in rechte te verwijzen. Dit dient bijkomende voorschriften overeenkomstig het nationale procesrecht niet uit te sluiten. De vaststelling van dergelijke juridisch bindende besluiten impliceert de mogelijkheid tot rechterlijke toetsing in de lidstaat van de toezichthoudende autoriteit die het besluit heeft vastgesteld. (101)(…)
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
61
NL
(101a) Wanneer de toezichthoudende autoriteit waarbij de klacht is ingediend, niet de leidende
toezichthoudende autoriteit is, dient de leidende toezichthoudende autoriteit overeenkomstig de bepalingen van deze verordening betreffende samenwerking en conformiteit nauw samen te werken met de toezichthoudende autoriteit waarbij de klacht is ingediend. In dergelijke gevallen dient de leidende toezichthoudende autoriteit, bij het nemen van maatregelen die rechtsgevolgen beogen te hebben, waaronder het opleggen van administratieve geldboetes, verregaand rekening te houden met het standpunt van de toezichthoudende autoriteit waarbij de klacht is ingediend en die bevoegd moet blijven om, in overleg met de leidende toezichthoudende autoriteit, elk onderzoek te verrichten op het grondgebied van haar eigen lidstaat. (101b) In gevallen waarin een andere toezichthoudende autoriteit als leidende toezichthoudende
autoriteit dient op te treden voor de verwerkingsactiviteiten van de verwerkingsverantwoordelijke of de verwerker, maar het voorwerp van een klacht of een mogelijke inbreuk alleen verwerkingsactiviteiten van de verwerkingsverantwoordelijke of de verwerker in de lidstaat waar de klacht is ingediend of waar de inbreuk is opgespoord betreft en het geval geen wezenlijke gevolgen heeft of dreigt te hebben voor betrokkenen in andere lidstaten, dient de toezichthoudende autoriteit waarbij een klacht wordt ingediend, of die situaties die mogelijke inbreuken op deze verordening inhouden, op het spoor is gekomen of er op een andere manier over wordt geïnformeerd, te trachten een minnelijke schikking met de verwerkingsverantwoordelijke te treffen en, indien dit niet mogelijk is, de volle reikwijdte van haar bevoegdheden uit te oefenen. Daaronder dienen te vallen: specifieke verwerking op het grondgebied van de lidstaat van de toezichthoudende autoriteit of met betrekking tot betrokkenen op het grondgebied van die lidstaat; of verwerking in het kader van een aanbod van goederen of diensten dat specifiek is gericht op betrokkenen op het grondgebied van de lidstaat van de toezichthoudende autoriteit; of verwerking die met inachtneming van de relevante nationale wettelijke verplichtingen moet worden beoordeeld. (102) De toezichthoudende autoriteiten dienen bij voorlichtingsactiviteiten voor het publiek specifieke maatregelen te nemen voor de verwerkingsverantwoordelijken en de verwerkers, waaronder micro-, kleine en middelgrote ondernemingen, alsmede natuurlijke personen, met name in het onderwijs.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
62
NL
(103) De toezichthoudende autoriteiten dienen elkaar bij de uitvoering van hun taken met het oog op de consequente toepassing en eenvormige handhaving van deze verordening binnen de interne markt bijstand te verlenen. Een om wederzijdse bijstand verzoekende toezichthoudende autoriteit kan een voorlopige maatregel treffen ingeval de aangezochte toezichthoudende autoriteit niet binnen één maand na ontvangst ervan reageert. (104) Iedere toezichthoudende autoriteit dient in voorkomend geval deel te nemen aan gezamenlijke acties van de toezichthoudende autoriteiten. Iedere aangezochte toezichthoudende autoriteit dient verplicht te zijn binnen een vastgestelde termijn op het verzoek te reageren. (105) Om te zorgen dat deze verordening in de gehele Unie consequent wordt toegepast, dient een conformiteitstoetsing voor samenwerking tussen de toezichthoudende autoriteiten te worden vastgesteld. Deze toetsing dient met name toepasselijk te zijn wanneer een toezichthoudende autoriteit voornemens is betreffende verwerkingsactiviteiten met wezenlijke gevolgen voor een betekenisvol aantal betrokkenen in verscheidene lidstaten een maatregel vast te stellen waarmee rechtsgevolgen worden beoogd. Zij dient ook van toepassing te zijn wanneer een betrokken toezichthoudende autoriteit of de Commissie verzoekt om een dergelijke aangelegenheid aan de conformiteitstoetsing te onderwerpen. Deze toetsing dient geen afbreuk te doen aan maatregelen die de Commissie kan nemen in de uitoefening van de bevoegdheden die haar bij de Verdragen zijn toegekend. (106) Bij de toepassing van de conformiteitstoetsing dient het Europees Comité voor gegevensbescherming binnen een bepaalde termijn een advies uit te brengen, indien een meerderheid van zijn leden daartoe beslist of indien een betrokken toezichthoudende autoriteit of de Commissie daarom verzoekt. Het Europees Comité voor gegevensbescherming moet ook bevoegd zijn om juridisch bindende besluiten vast te stellen over geschillen tussen toezichthoudende autoriteiten. In welomschreven gevallen waarin er tussen toezichthoudende autoriteiten, met name in de procedure voor samenwerking tussen de leidende toezichthoudende autoriteit en de betrokken toezichthoudende autoriteiten, meningsverschillen over de grond van de zaak bestaan, met name over de vraag of er sprake is van een inbreuk op deze verordening, dient het Comité in beginsel met tweederdemeerderheid van de leden juridisch bindende besluiten uit te vaardigen.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
63
NL
(107) (…) (108) Er kan dringend moeten worden opgetreden om de rechten en vrijheden van de betrokkenen te beschermen, met name wanneer het gevaar bestaat dat de handhaving van een recht van een betrokkene aanzienlijk zou kunnen worden belemmerd. Daarom kan een toezichthoudende autoriteit op haar grondgebied naar behoren gemotiveerde voorlopige maatregelen treffen met een vastgestelde geldigheidsduur van maximaal drie maanden. (109) In de gevallen waarin deze toetsing verplicht is, dient het verrichten ervan een voorwaarde te zijn voor de rechtmatigheid van een maatregel van een toezichthoudende autoriteit waarmee rechtsgevolgen worden beoogd. In andere grensoverschrijdende gevallen dient de procedure voor samenwerking tussen de leidende toezichthoudende autoriteit en de betrokken toezichthoudende autoriteit te worden toegepast. Op een bilaterale of multilaterale basis kan tussen de betrokken toezichthoudende autoriteiten wederzijdse bijstand worden verleend en kunnen er gezamenlijke maatregelen worden uitgevoerd zonder dat zulks aanleiding geeft tot een conformiteitstoetsing. (110) Teneinde de consequente toepassing van de verordening te bevorderen, moet het Europees Comité voor gegevensbescherming als een onafhankelijk orgaan van de Unie worden opgericht. Ter verwezenlijking van zijn doelstellingen moet het Europees Comité voor gegevensbescherming over rechtspersoonlijkheid beschikken. Het Europees Comité voor gegevensbescherming dient door zijn voorzitter te worden vertegenwoordigd. Dit comité dient de bij Richtlijn 95/46/EG opgerichte Groep voor de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens te vervangen. Het dient te bestaan uit de hoofden van de toezichthoudende autoriteit van iedere lidstaat en de Europese Toezichthouder voor gegevensbescherming of hun respectievelijke vertegenwoordigers. De Commissie dient aan de activiteiten van het comité deel te nemen zonder stemrecht voor de Commissie en zonder specifiek stemrecht voor de Europese Toezichthouder voor gegevensbescherming. Het Europees Comité voor gegevensbescherming dient bij te dragen aan de consequente toepassing van deze verordening in de Unie, onder meer door de Commissie advies te verlenen, met name over het beschermingsniveau in derde landen of in internationale organisaties, en de samenwerking tussen de toezichthoudende autoriteiten in de Unie te bevorderen. Het Europees Comité voor gegevensbescherming dient bij de uitvoering van zijn taken onafhankelijk op te treden.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
64
NL
(110a) Het Europees Comité voor gegevensbescherming dient te worden bijgestaan door een
secretariaat dat door de Europese Toezichthouder voor gegevensbescherming wordt georganiseerd. De personeelsleden van de Europese Toezichthouder voor gegevensbescherming die betrokken zijn bij de uitvoering van de taken die krachtens deze verordening aan het Europees Comité voor gegevensbescherming zijn opgedragen, dienen hun taken uitsluitend te verrichten volgens de instructies van de voorzitter van het Europees Comité voor gegevensbescherming, en zij dienen aan hem verslag uit te brengen. (111) Iedere betrokkene dient het recht te hebben om een klacht in te dienen bij één enkele toezichthoudende autoriteit, met name in de lidstaat waar hij gewoonlijk verblijft, en een doeltreffende voorziening in rechte in te stellen overeenkomstig artikel 47 van het Handvest van de grondrechten indien hij meent dat inbreuk is gemaakt op zijn rechten uit hoofde van deze verordening of indien de toezichthoudende autoriteit niet optreedt naar aanleiding van een klacht, een klacht gedeeltelijk of geheel afwijst of verwerpt, of indien deze niet optreedt wanneer zulk optreden noodzakelijk is ter bescherming van de rechten van de betrokkene. Het onderzoek dat naar aanleiding van een klacht wordt uitgevoerd, gaat niet verder dan in het specifieke geval passend is en kan worden onderworpen aan rechterlijke toetsing. De toezichthoudende autoriteit dient de betrokkene binnen een redelijke termijn in kennis te stellen van de voortgang en het resultaat van de klacht. Indien de zaak verder onderzoek of coördinatie met een andere toezichthoudende autoriteit vereist, dient de betrokkene tussentijdse informatie te worden verstrekt. Elke toezichthoudende autoriteit dient maatregelen te treffen om het indienen van klachten te faciliteren, zoals het ter beschikking stellen van een klachtenformulier dat tevens elektronisch kan worden ingevuld, zonder dat andere communicatiemiddelen worden uitgesloten.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
65
NL
(112) Wanneer een betrokkene van oordeel is dat inbreuk is gemaakt op zijn rechten uit hoofde van deze verordening, moet hij het recht hebben organen, organisaties of verenigingen zonder winstoogmerk, die statutaire doelstellingen hebben die in het publieke belang zijn, die actief zijn op het gebied van de bescherming van persoonsgegevens en die volgens het recht van een lidstaat zijn opgericht, te machtigen om namens hem een klacht in te dienen bij een toezichthoudende autoriteit, om namens betrokkenen het recht op een voorziening in rechte uit te oefenen of om namens betrokkenen het recht op de ontvangst van een vergoeding uit te oefenen indien dit in de nationale wetgeving is voorzien. De lidstaten kunnen bepalen dat deze organen, organisaties of verenigingen over het recht moeten beschikken om, ongeacht een eventuele machtiging door een betrokkene, in die lidstaat een klacht in te dienen en/of over het recht op een doeltreffende voorziening in rechte, indien zij redenen hebben om aan te nemen dat de rechten van een betrokkene zijn geschonden als gevolg van een verwerking van persoonsgegevens die niet strookt met deze verordening. Voor deze organen, organisaties of verenigingen kan worden bepaald dat zij niet het recht hebben om namens een betrokkene een vergoeding te eisen buiten de machtiging door de betrokkene om.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
66
NL
(113) Iedere natuurlijke persoon of rechtspersoon heeft het recht om voor het Hof van Justitie van de Europese Unie (het "Hof van Justitie") een beroep tot nietigverklaring in te stellen tegen een besluit van het Europees Comité voor gegevensbescherming, onder de in artikel 263 VWEU bedoelde voorwaarden. Als adressaten van dergelijke besluiten dienen de betrokken toezicht-houdende autoriteiten die deze besluiten wensen aan te vechten, binnen twee maanden na de kennisgeving ervan beroep in te stellen overeenkomstig artikel 263 VWEU. Wanneer de verwerkingsverantwoordelijke, de verwerker of de klager rechtstreeks en individueel wordt geraakt door besluiten van het Europees Comité voor gegevensbescherming, kan hij, binnen twee maanden na de bekendmaking ervan op de website van het Europees Comité voor gegevensbescherming, een beroep tot nietigverklaring van deze besluiten instellen overeen-komstig artikel 263 VWEU. Onverminderd dit recht uit hoofde van artikel 263 VWEU dient iedere natuurlijke of rechtspersoon het recht te hebben om tegen een besluit van een toezicht-houdende autoriteit dat ten aanzien van die persoon rechtsgevolgen heeft, voor de bevoegde nationale rechterlijke instantie een doeltreffende voorziening in rechte in te stellen. Een dergelijk besluit heeft meer bepaald betrekking op de uitoefening van met onderzoek, correctie en toestemming verband houdende bevoegdheden door de toezichthoudende autoriteit, of op de afwijzing of verwerping van klachten. Dat recht geldt echter niet voor andere maatregelen van de toezichthoudende autoriteiten die niet juridisch bindend zijn, zoals adviezen. Een vordering tegen een toezichthoudende autoriteit dient te worden ingesteld bij de rechterlijke instanties van de lidstaat waar de toezichthoudende autoriteit gevestigd is, en dient in overeenstemming te zijn met het nationaal procesrecht van die lidstaat. Die rechterlijke instanties dienen volledige rechtsmacht uit te oefenen, waaronder rechtsmacht om alle feitelijke en juridische vraagstukken in verband met het ter tafel liggende geschil te onderzoeken. Wordt een klacht door een toezichthoudende autoriteit afgewezen of verworpen, dan kan de klager beroep instellen bij de rechterlijke instanties in dezelfde lidstaat. In het kader van de rechtsbevoegdheid in verband met de toepassing van deze verordening, kunnen, of, in het geval van artikel 267 VWEU, moeten de nationale rechterlijke instanties die van oordeel zijn dat een beslissing ter zake noodzakelijk is voor het wijzen van hun vonnis, het Hof van Justitie verzoeken om een prejudiciële beslissing over de interpretatie van de Unie-wetgeving, met inbegrip van deze verordening. Bovendien, wanneer een besluit van een toezichthoudende autoriteit tot uitvoering van een besluit van het Europees Comité voor gegevensbescherming wordt aangevochten voor een nationale rechterlijke instantie en de geldigheid van het besluit van het Europees Comité voor gegevensbescherming aan de orde is, heeft die nationale rechterlijke instantie niet de bevoegdheid om het besluit van het Europees Comité voor gegevensbescherming ongeldig te verklaren, maar dient zij, wanneer zij het besluit ongeldig acht, de vraag inzake de geldigheid voor te leggen aan het Hof van Justitie overeenkomstig artikel 267 VWEU zoals uitgelegd door het Hof van Justitie. Een nationale rechterlijke instantie kan een vraag inzake de geldigheid van een besluit van het Europees Comité voor gegevensbescherming echter niet aan het Hof voorleggen op verzoek van een natuurlijke of rechtspersoon die de mogelijkheid had om beroep tot nietigverklaring van dat besluit in te stellen, met name wanneer hij rechtstreeks en individueel door dat besluit was geraakt, maar dit niet heeft gedaan binnen de in artikel 263 VWEU gestelde termijn.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
67
NL
(113a) Wanneer een rechterlijke instantie die belast is met een procedure tegen een besluit van
een toezichthoudende autoriteit redenen heeft om aan te nemen dat er bij een bevoegde rechterlijke instantie in een andere lidstaat al een procedure is ingeleid in verband met dezelfde verwerking, waarbij het bijvoorbeeld kan gaan om hetzelfde onderwerp van de verwerking, dezelfde activiteiten van de verwerkingsverantwoordelijke of de verwerker, of dezelfde aanleiding, neemt zij contact op met die instantie om het bestaan van de verwante procedure te verifiëren. Indien er voor een rechterlijke instantie in een andere lidstaat een verwante procedure loopt, kan iedere andere rechterlijke instantie dan die welke als eerste is aangezocht haar procedure schorsen, of zij kan, op verzoek van een van de partijen, tot verwijzing naar de eerst aangezochte instantie overgaan, mits die laatste bevoegd is om van de betrokken procedure kennis te nemen en mits haar wetgeving de voeging ervan toestaat. Verwante procedures zijn procedures waartussen een zo nauwe band bestaat dat een goede rechtsbedeling vraagt om hun gelijktijdige behandeling en berechting, teneinde te vermijden dat bij afzonderlijke berechting van de zaken onverenigbare beslissingen worden gegeven. (114) (…) (115) (…) (116) Voor procedures tegen een verwerkingsverantwoordelijke of een verwerker dient de klager te kunnen kiezen om de zaak aanhangig te maken bij de rechterlijke instanties in de lidstaat waar de verwerkingsverantwoordelijke of de verwerker een vestiging heeft, of dit te doen in de lidstaat waar de betrokkene verblijft, tenzij de verwerkingsverantwoordelijke een overheidsinstantie van een lidstaat is die krachtens overheidsbevoegdheid handelt. (117) (…)
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
68
NL
(118) De schade die iemand kan lijden tengevolge van een verwerking die niet met deze verordening strookt, dient te worden vergoed door de verwerkingsverantwoordelijke of de verwerker, die van zijn aansprakelijkheid dient te worden vrijgesteld indien hij bewijst dat hij niet verant-woordelijk is voor de schade. Het begrip 'schade' dient ruim te worden uitgelegd in het licht van de jurisprudentie van het Hof van Justitie van de Europese Unie, op een wijze die ten volle recht doet aan de doelstellingen van deze verordening. Dit laat eventuele eisen tot schadeloosstelling wegens inbreuken op andere regels in de wetgeving van de Unie of de lidstaten onverlet. Wanneer wordt gewaagd van een verwerking die niet in overeenstemming is met deze verordening, wordt eveneens bedoeld een verwerking die niet in overeenstemming is met gedelegeerde en uitvoeringshandelingen die werden vastgesteld overeenkomstig deze verordening, alsmede nationale wetgeving waarin in deze verordening vervatte regels worden gespecificeerd. De betrokkenen dienen volledige en daadwerkelijke vergoeding van de door hen geleden schade te ontvangen. Wanneer verwerkingsverantwoordelijken of verwerkers betrokken zijn bij dezelfde verwerking, dienen zij elk voor de volledige schade aansprakelijk te worden gehouden. Wanneer zij evenwel in overeenstemming met de nationale wetgeving zijn gevoegd in dezelfde gerechtelijke procedure, kan elke verwerkingsverantwoordelijke of verwerker overeenkomstig zijn aandeel in de verantwoordelijkheid voor de schade die door de verwerking werd veroorzaakt, een deel van de vergoeding dragen, mits de betrokkene die schade heeft geleden volledig en daadwerkelijk wordt vergoed. Iedere verwerkingsverantwoordelijke of verwerker die de volledige vergoeding heeft betaald, kan vervolgens een regresvordering instellen tegen andere verwerkingsverantwoordelijken of verwerkers die bij dezelfde verwerking betrokken zijn. (118a) Waar deze verordening voorziet in specifieke bevoegdheidsregels, met name wat betreft
procedures die een voorziening in rechte, met inbegrip van schadeloosstelling, tegen een verwerkingsverantwoordelijke of verwerker beogen, dienen algemene bevoegdheidsregels, zoals die van Verordening (EU) nr. 1215/2012, geen afbreuk te doen aan de toepassing van die specifieke regels.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
69
NL
(118b) Met het oog op een krachtiger handhaving van de regels van deze verordening dienen
straffen en administratieve geldboetes te worden opgelegd voor elke inbreuk op de verordening, naast of in plaats van passende maatregelen die door de toezichthoudende autoriteiten ingevolge deze verordening worden opgelegd. Indien het gaat om een kleine inbreuk of indien de te verwachten geldboete een onevenredige last zou berokkenen aan een natuurlijk persoon, kan in plaats van een geldboete gekozen worden voor een berisping. Er dient evenwel rekening te worden gehouden met de aard, de ernst en de duur van de inbreuk, met het antwoord op de vraag of de inbreuk opzettelijk is gepleegd, met getroffen maatregelen ter verlichting van de geleden schade, met de mate van verantwoordelijkheid, of met eerdere relevante inbreuken, met de wijze waarop de inbreuk ter kennis van de toezichthoudende autoriteit is gekomen, met de naleving van de maatregelen die werden genomen tegen de verwerkingsverant-woordelijke of de verwerker, met de aansluiting bij een gedragscode en met alle andere verzwarende of verzachtende factoren. Het opleggen van straffen en administratieve geldboetes moet onderworpen zijn aan passende procedurele waarborgen overeenkomstig de algemene beginselen van het recht van de Unie en het Handvest van de grondrechten, waaronder een doeltreffende voorziening in rechte en een eerlijke rechtsbedeling. (119) De lidstaten kunnen de regels betreffende straffen voor inbreuken op deze verordening vaststellen, onder meer voor inbreuken op nationale regels ingevolge en binnen de grenzen van deze verordening. Deze straffen kunnen ook inhouden dat de via inbreuken op deze verordening verkregen voordelen worden tenietgedaan. Het opleggen van straffen voor inbreuken op dergelijke nationale regels en van administratieve sancties mag evenwel niet resulteren in de inbreuk op het beginsel ne bis in idem, zoals het Hof van Justitie van de Europese Unie dit heeft uitgelegd.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
70
NL
(120) Teneinde de administratieve straffen tegen inbreuken op deze verordening te versterken en te harmoniseren dient iedere toezichthoudende autoriteit bevoegd te zijn om administratieve geldboetes op te leggen. In deze verordening dienen de overtredingen te worden benoemd, evenals maxima en criteria voor het vaststellen van de daaraan verbonden administratieve geldboetes, die per afzonderlijk geval dienen te worden bepaald door de bevoegde toezichthoudende autoriteit, rekening houdend met alle relevante omstandigheden van de specifieke situatie, met inachtneming van met name de aard, de ernst en de duur van de inbreuk en van de gevolgen ervan en de maatregelen die zijn genomen om naleving van de verplichtingen uit hoofde van de verordening te waarborgen en de gevolgen van de inbreuk te voorkomen of te beperken. Wanneer de geldboetes worden opgelegd aan een onderneming, moet een onderneming in die context worden gezien zoals omschreven in de artikelen 101 en 102 van het VWEU. Wanneer de geldboetes worden opgelegd aan personen die geen onderneming zijn, moet de toezichthoudende autoriteit bij het bepalen van een passend bedrag voor de geldboete rekening houden met het algemene inkomensniveau in de lidstaat en de economische situatie van de persoon in kwestie. De conformiteitstoetsing kan ook worden gebruikt ter bevordering van een consequente toepassing van administratieve geldboetes. Het dient aan de lidstaten te zijn om te bepalen of en in welke mate overheidsinstanties aan administratieve geldboetes moeten zijn onderworpen. Het opleggen van een administratieve geldboete of het geven van een waarschuwing heeft geen gevolgen voor de uitoefening van andere bevoegdheden van de toezichthoudende autoriteiten of voor het toepassen van andere sancties uit hoofde van de verordening.
(120a) (nieuw) De rechtssystemen van Denemarken en Estland laten de in deze verordening beschreven administratieve geldboetes niet toe. De regels over administratieve geldboetes kunnen op een zodanige wijze worden toegepast dat de boete in Denemarken als een strafrechtelijke sanctie door een bevoegde nationale rechterlijke instantie, en in Estland in het kader van een procedure voor strafbare feiten door de toezichthoudende autoriteit wordt opgelegd, op voorwaarde dat deze toepassingen van de regels in die lidstaten eenzelfde werking hebben als administratieve geldboetes die door toezichthoudende autoriteiten worden opgelegd. Daarom dienen de bevoegde nationale rechterlijke instanties rekening te houden met de aanbeveling van de toezichthoudende autoriteit die de boete heeft geïnitieerd. De boetes dienen in elk geval doeltreffend, evenredig en afschrikkend te zijn.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
71
NL
(120a) Waar deze verordening niet voorziet in een harmonisering van de administratieve straffen
of indien nodig in andere gevallen, bijvoorbeeld bij ernstige inbreuken op de verordening, dienen de lidstaten een systeem toe te passen dat zorgt voor doeltreffende, evenredige en afschrikkende straffen. De aard van die straffen (strafrechtelijk of administratief) dient te worden bepaald in de nationale wetgeving. (121) In de wetgeving van de lidstaten moeten de voorschriften betreffende de vrijheid van meningsuiting en van informatie, met inbegrip van journalistieke, academische, artistieke en/of literaire uitdrukkingsvormen in overeenstemming worden gebracht met het recht op bescherming van persoonsgegevens uit hoofde van deze verordening. Voor de verwerking van persoonsgegevens enkel voor journalistieke doelen of ten behoeve van academische, artistieke en literaire uitdrukkingsvormen moeten afwijkingen van of uitzonderingen op een aantal bepalingen van deze verordening worden ingesteld, teneinde indien nodig het recht op bescherming van persoonsgegevens te verzoenen met het recht op de vrijheid van meningsuiting en van informatie, zoals dat bij artikel 11 van het Handvest van de grondrechten van de Europese Unie wordt gewaarborgd. Dit dient met name te gelden voor de verwerking van persoonsgegevens voor audiovisuele doelen en in nieuws- en persarchieven. De lidstaten moeten derhalve wettelijke maatregelen treffen om de uitzonderingen en afwijkingen vast te stellen die nodig zijn om een juiste balans tussen deze grondrechten tot stand te brengen. De lidstaten dienen dergelijke uitzonderingen en afwijkingen vast te stellen met betrekking tot de algemene beginselen, de rechten van betrokkenen, de verwerkingsverantwoordelijke en de verwerker, de doorgifte van gegevens naar derde landen of internationale organisaties, de onafhankelijke toezichthoudende autoriteiten en samenwerking en conformiteit, en betreffende specifieke situaties op het gebied van gegevensverwerking. Indien die uitzonderingen of afwijkingen per lidstaat verschillen, is de nationale wetgeving van de lidstaat waaraan de verwerkingsverantwoordelijke is onderworpen, van toepassing. Gelet op het belang van het recht van vrijheid van meningsuiting in elke democratische samenleving, dienen begrippen die betrekking hebben op die vrijheid, zoals journalistiek, ruim te worden uitgelegd.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
72
NL
(121a) Deze verordening biedt de mogelijkheid om bij de toepassing van de daarin vastgelegde
voorschriften rekening te houden met het beginsel recht van toegang van het publiek tot officiële documenten. De toegang van het publiek tot officiële documenten kan als een algemeen belang worden beschouwd. Persoonsgegevens in documenten die in het bezit zijn van een overheidsinstantie of overheidsorgaan, moeten door die instantie of dat orgaan kunnen worden vrijgegeven, indien in de wetgeving van de Unie of van de lidstaat die op de overheidsinstantie of het overheidsorgaan van toepassing is, in de vrijgave van die gegevens wordt voorzien. Die wetgeving moet de toegang van het publiek tot officiële documenten en het hergebruik van overheidsinformatie verzoenen met het recht op bescherming van persoonsgegevens, en mag derhalve voorzien in de nodige afstemming op het recht op de bescherming van persoonsgegevens krachtens deze verordening. De verwijzing naar overheidsinstanties en -organen in deze context moet alle autoriteiten en andere organen die onder de nationale wetgeving inzake de toegang van het publiek tot documenten vallen, omvatten. Richtlijn 2003/98/EG van het Europees Parlement en de Raad van 17 november 2003 inzake het hergebruik van overheidsinformatie doet geen afbreuk aan en heeft geen gevolgen voor het niveau van bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens uit hoofde van de Unie- en de nationale wetgeving, en houdt met name geen wijziging in van de in deze verordening vastgestelde verplichtingen en rechten. Die richtlijn geldt met name niet voor documenten die krachtens de toegangsregelingen niet of in beperkte mate mogen worden ingezien omwille van de bescherming van persoonsgegevens, en voor delen van documenten die krachtens die regelingen mogen worden ingezien, maar die persoonsgegevens bevatten waarvan het hergebruik bij wet onverenigbaar is verklaard met het de wetgeving inzake bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens. (122) (…) (123) (…)
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
73
NL
(124) In de wetgeving van de lidstaten of in collectieve overeenkomsten (met inbegrip van "bedrijfs-overeenkomsten") kunnen specifieke regels worden vastgesteld voor de verwerking van de persoonsgegevens van werknemers in het kader van de arbeidsverhouding, met name voor de voorwaarden waaronder persoonsgegevens in de arbeidsverhouding op basis van de toe-stemming van de werknemer mogen worden verwerkt, voor de aanwerving, voor de uitvoering van het arbeidscontract, met inbegrip van de naleving van wettelijke of uit collectieve overeenkomsten voortvloeiende verplichtingen, voor het beheer, de planning en de organisatie van de arbeid, voor gelijkheid, diversiteit, gezondheid en veiligheid op het werk, voor de uitoefening en het genot van de met de arbeidsverhouding samenhangende individuele of collectieve rechten en voordelen, en voor de beëindiging van de arbeidsverhouding. (125) De verwerking van persoonsgegevens met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doelen, dient onderworpen te zijn aan passende waarborgen voor de rechten en vrijheden van de betrokkenen overeenkomstig deze verordening. Deze waarborgen dienen ervoor te zorgen dat technische en organisatorische maatregelen worden getroffen om met name de inachtneming van het beginsel dataminimalisering te verzekeren. De verdere verwerking van persoonsgegevens met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doelen dient te worden uitgevoerd wanneer de verwerkingsverantwoordelijke heeft beoordeeld of deze doelen te verwezenlijken zijn door gegevens te verwerken op basis waarvan de betrokkenen niet of niet meer geïdentificeerd kunnen worden, op voorwaarde dat passende waarborgen bestaan (bijvoorbeeld de pseudonimisering van de gegevens). De lidstaten dienen passende waarborgen te bieden voor de verwerking van persoonsgegevens met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doelen. De lidstaten dienen te worden gemachtigd om, onder specifieke voorwaarden en met passende waarborgen voor de betrokkenen, nader te bepalen welke specificaties en afwijkingen gelden voor de informatievoorschriften, de rectificatie, de wissing, het recht om te worden vergeten, de beperking van de verwerking en het recht van gegevensoverdraagbaarheid en het recht van bezwaar tegen verwerking van persoonsgegevens met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doelen. Indien dit, gelet op de met de specifieke verwerking beoogde doelen, passend is, kunnen in de genoemde voorwaarden en waarborgen specifieke procedures voor de uitoefening van deze rechten door betrokkenen worden opgenomen, in combinatie met technische en organisatorische maatregelen om, in het licht van de beginselen noodzaak en evenredigheid, het verwerken van persoonsgegevens tot een minimum te beperken. De verwerking van persoonsgegevens voor wetenschappelijke doelen dient ook te voldoen aan andere toepasselijke wetgeving, zoals die over klinische proeven.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
74
NL
(125a)(…)
(125aa) Door gegevens uit verschillende registers te koppelen, kunnen onderzoekers nieuwe en zeer waardevolle kennis verwerven, bijvoorbeeld over veel voorkomende ziekten, zoals hart- en vaatziekten, kanker, depressie, enzovoort. Omdat zij op een groter deel van de bevolking zijn gebaseerd, kunnen onderzoeksresultaten met behulp van registers worden verbeterd. In de sociale wetenschappen kunnen wetenschappers dankzij registeronderzoek essentiële kennis verwerven over de gevolgen op lange termijn van een aantal sociale factoren, zoals werkloosheid, onderwijs, en het verband tussen die factoren en andere levensomstandigheden. Onderzoeksresultaten die op basis van registers worden verkregen, leveren solide kennis van hoge kwaliteit op, welke kan worden gebruikt om op kennis gebaseerd beleid te ontwikkelen en te implementeren, de levenskwaliteit van een deel van de bevolking te verbeteren, sociale diensten efficiënter te maken, enzovoort. Daarom moet, teneinde wetenschappelijk onderzoek te faciliteren, worden bepaald dat persoonsgegevens, met inachtneming van de passende voorwaarden en waarborgen die in de wetgeving van de lidstaten of van de Unie zijn vastgesteld, met het oog op wetenschappelijk onderzoek mogen worden verwerkt. (125b) Wanneer persoonsgegevens voor archiveringsdoelen worden verwerkt, dient deze ver-
ordening ook voor verwerking met dit doel te gelden, met dien verstande dat deze verordening niet van toepassing mag zijn op persoonsgegevens van overleden personen. Overheidsinstanties of openbare of particuliere organen die in het bezit zijn van gegevens van algemeen belang, moeten diensten zijn die, conform de wetgeving van de Unie of van de lidstaten, wettelijk verplicht zijn gegevens van blijvende waarde voor het algemeen belang te verwerven, te bewaren, te beoordelen, te ordenen, te beschrijven, mee te delen, onder de aandacht te brengen, te verspreiden en toegankelijk te maken. De lidstaten moeten tevens worden gemachtigd om te bepalen dat persoonsgegevens voor archiveringsdoelen verder mogen worden verwerkt, bijvoorbeeld met het oog op het verstrekken van specifieke informatie over het politiek gedrag onder voormalige totalitaire regimes, over genocide, misdaden tegen de menselijkheid, met name de Holocaust, of over oorlogsmisdaden.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
75
NL
(126) Wanneer persoonsgegevens met het oog op wetenschappelijk onderzoek worden verwerkt, moet deze verordening ook op verwerking met dat doel van toepassing zijn. Voor de toepassing van deze verordening dient de verwerking van persoonsgegevens met het oog op wetenschappelijk onderzoek breed te worden geïnterpreteerd en bijvoorbeeld technologische ontwikkeling en demonstratie, fundamenteel onderzoek, toegepast onderzoek en uit particuliere middelen gefinancierd onderzoek te omvatten, en dient bovendien de doelstelling van de Unie uit hoofde van artikel 179, lid 1, van het Verdrag betreffende de werking van de Europese Unie, te weten de totstandbrenging van een Europese onderzoeksruimte, in acht te worden genomen. Wetenschappelijke onderzoeksdoelen omvatten ook studies op het gebied van de volksgezondheid die in het algemeen belang worden gedaan. Om als verwerking van persoonsgegevens et het oog op wetenschappelijk onderzoek te worden aangemerkt, moet de verwerking aan specifieke voorwaarden voldoen, met name wat betreft het publiceren of anderszins verstrekken van persoonsgegevens voor wetenschappelijke onderzoeksdoelen. Indien de resultaten van wetenschappelijk onderzoek, met name op het gebied van gezondheid, aanleiding geven tot verdere maatregelen in het belang van de betrokkene, zijn met het oog op deze maatregelen de algemene regels van deze verordening van toepassing. (126a) Wanneer persoonsgegevens et het oog op historisch onderzoek worden verwerkt, dient deze
verordening ook voor verwerking met dat doel te gelden. Dit dient ook historisch onderzoek en onderzoek voor genealogische doelen te omvatten, met dien verstande dat deze verordening niet van toepassing mag zijn op overleden personen. (126b) Wat betreft de toestemming voor deelname aan wetenschappelijke onderzoeksactiviteiten in
klinische proeven dienen de desbetreffende bepalingen van Verordening (EU) nr. 536/2014 van het Europees Parlement en de Raad van toepassing te zijn.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
76
NL
(126c) Wanneer persoonsgegevens voor statistische doelen worden verwerkt, dient deze verordening
voor verwerking met dat doel te gelden. Bepalingen betreffende statistische inhoud, toegangscontrole, specificaties voor het verwerken van persoonsgegevens voor statistische doelen en passende maatregelen ter bescherming van de rechten en vrijheden van de betrokkene en ter borging van statistische geheimhouding dienen, binnen de grenzen van deze verordening, in de wetgeving van de Unie of van de lidstaten te worden vastgesteld. Onder statistische doelen wordt verstaan het verzamelen en bewerken van persoonsgegevens die nodig zijn voor statistische onderzoeken en voor het produceren van statistische resultaten. Deze statistische resultaten kunnen ook voor andere doelen worden gebruikt, onder meer voor wetenschappelijke onderzoeksdoelen. Onder statistische doelen wordt verstaan het verzamelen en bewerken van persoonsgegevens die nodig zijn voor statistische onderzoeken en voor het produceren van statistische resultaten. Het statistische oogmerk betekent dat het resultaat van de verwerking voor statistische doelen niet uit persoonsgegevens, maar uit geaggregeerde gegevens bestaat, en dat dit resultaat en de gegevens niet worden gebruikt als ondersteunend materiaal voor maatregelen of beslissingen die een bepaald individu betreffen. (126d) De vertrouwelijke gegevens die statistische autoriteiten van de Unie en de lidstaten voor
de productie van officiële Europese en officiële nationale statistieken verzamelen, moeten worden beschermd. Europese statistieken moeten worden ontwikkeld, geproduceerd en verspreid in overeenstemming met de statistische beginselen van artikel 338, lid 2, van het Verdrag betreffende de werking van de Europese Unie; nationale statistieken moeten ook aan de nationale wetgeving voldoen. Verordening (EG) nr. 223/2009 van het Europees Parlement en de Raad van 11 maart 2009 betreffende de Europese statistiek en tot intrekking van Verordening (EG, Euratom) nr. 1101/2008 van het Europees Parlement en de Raad betreffende de toezending van onder de statistische geheimhoudingsplicht vallende gegevens aan het Bureau voor de Statistiek van de Europese Gemeenschappen, Verordening (EG) nr. 322/97 van de Raad betreffende de communautaire statistiek en Besluit 89/382/EEG, Euratom van de Raad tot oprichting van een Comité statistisch programma van de Europese Gemeenschappen, bevatten nadere specificaties betreffende de statistische geheimhoudingsplicht voor Europese statistieken.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
77
NL
(127) Met betrekking tot de bevoegdheden van de toezichthoudende autoriteiten om van de verwerkingsverantwoordelijke of de verwerker toegang tot persoonsgegevens en tot zijn dienstruimten te verkrijgen, kunnen de lidstaten, binnen de grenzen van deze verordening, bij wet specifieke bepalingen vaststellen om het beroepsgeheim of andere, gelijkwaardige geheimhoudingsplichten te waarborgen, voor zover dit nodig is om het recht op bescherming van persoonsgegevens met het beroepsgeheim te verzoenen. Daarbij worden de in de lidstaten geldende verplichtingen om de regels van het beroepsgeheim na te leven wanneer de Uniewetgeving zulks vereist, onverlet gelaten. (128) Overeenkomstig artikel 17 van het Verdrag betreffende de werking van de Europese Unie eerbiedigt deze verordening de status die kerken en religieuze verenigingen en gemeenschappen volgens het vigerende constitutioneel recht in de lidstaten hebben, en doet zij daaraan geen afbreuk. (129) Met het oog op de verwezenlijking van de doelstellingen van deze verordening, namelijk het beschermen van de grondrechten en de fundamentele vrijheden van natuurlijke personen, in het bijzonder hun recht op de bescherming van persoonsgegevens, en het waarborgen van het vrije verkeer van persoonsgegevens in de Unie, dient aan de Commissie de bevoegdheid te worden verleend om overeenkomstig artikel 290 van het Verdrag betreffende de werking van de Europese Unie handelingen vast te stellen. Met name dienen gedelegeerde handelingen te worden vastgesteld over de criteria en vereisten voor certificeringsmechanismen, de informatie die door gestandaardiseerde icoontjes moet worden weergegeven en over de procedures omtrent het verstrekken van die icoontjes. Het is van bijzonder belang dat de Commissie bij haar voorbereidende werkzaamheden toereikende raadplegingen verricht, onder meer op deskundigenniveau. De Commissie moet er bij de voorbereiding en opstelling van de gedelegeerde handelingen voor zorgen dat de desbetreffende documenten tijdig en op gepaste wijze gelijktijdig worden toegezonden aan het Europees Parlement en de Raad.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
78
NL
(130) Om te zorgen voor uniforme voorwaarden voor de tenuitvoerlegging van deze verordening dienen aan de Commissie uitvoeringsbevoegdheden te worden verleend waar dit in deze verordening is voorzien. Die bevoegdheden moeten worden uitgeoefend overeenkomstig Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad van 16 februari 2011 tot vaststelling van de algemene voorschriften en beginselen die van toepassing zijn op de wijze waarop de lidstaten de uitoefening van de uitvoeringsbevoegdheden door de Commissie controleren5. In deze context dient de Commissie specifieke maatregelen voor micro- en kleine en middelgrote ondernemingen in overweging te nemen. (131) De onderzoeksprocedure dient te worden toegepast voor de vaststelling van uitvoeringshandelingen inzake modelcontractbepalingen tussen verwerkingsverantwoordelijken en verwerkers, en tussen verwerkers onderling; gedragscodes; technische normen en mechanismen voor certificering; het door een derde land, een gebied of een verwerkingssector binnen dat derde land of een internationale organisatie geboden passend beschermingsniveau; de vaststelling van modelbepalingen inzake bescherming; modellen en procedures voor de elektronische uitwisseling van informatie tussen verwerkingsverantwoordelijken, verwerkers en toezichthoudende autoriteiten wat betreft bindende bedrijfsvoorschriften; wederzijdse bijstand; de regelingen voor de elektronische uitwisseling van informatie tussen toezichthoudende autoriteiten onderling en tussen toezichthoudende autoriteiten en het Europees Comité voor gegevensbescherming, aangezien dit handelingen van algemene strekking zijn. (132) Indien uit het beschikbare bewijsmateriaal blijkt dat een derde land, een gebied of een verwerkingssector in een derde land, of een internationale organisatie geen passend beschermingsniveau waarborgt en wanneer dwingende urgente redenen dat vereisen, dient de Commissie uitvoeringshandelingen vast te stellen die meteen in werking treden.
5
Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad van 16 februari 2011 tot vaststelling van de algemene voorschriften en beginselen die van toepassing zijn op de wijze waarop de lidstaten de uitoefening van de uitvoeringsbevoegdheden door de Commissie controleren, PB L 55 van 28.2.2011, blz. 13.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
79
NL
(133) Aangezien de doelstellingen van deze verordening, namelijk het waarborgen van een gelijkwaardig niveau van bescherming van natuurlijke personen en van het vrije verkeer van gegevens in de hele Unie, niet voldoende door de lidstaten alleen kan worden verwezenlijkt en derhalve, gezien de omvang en de gevolgen van de maatregelen, beter op het niveau van de Unie kan worden verwezenlijkt, kan de Unie, overeenkomstig het in artikel 5 van het Verdrag betreffende de Europese Unie neergelegde subsidiariteitsbeginsel, maatregelen nemen. Overeenkomstig het in hetzelfde artikel neergelegde evenredigheidsbeginsel, gaat deze verordening niet verder dan wat nodig is om deze doelstelling te verwezenlijken. (134) Richtlijn 95/46/EG dient door deze verordening te worden vervangen. Verwerkingen die al gaande zijn op de datum van toepassing van deze verordening, dienen in overeenstemming met deze verordening te worden gebracht binnen twee jaar na de inwerkingtreding ervan. Om de verwerkingsverantwoordelijke in staat te stellen na de datum van toepassing van deze verordening de verwerking voort te zetten, hoeft de betrokkene voor een verwerking waarmee hij krachtens Richtlijn 95/46/EC heeft ingestemd op een manier die aan de voorwaarden van deze verordening voldoet, niet nog eens toestemming te geven. Besluiten van de Commissie en door de toezichthoudende autoriteiten verleende toestemmingen die zijn gebaseerd op Richtlijn 95/46/EG, blijven van kracht totdat zij worden gewijzigd, vervangen of ingetrokken. (135) Deze verordening dient van toepassing te zijn op alle aangelegenheden die betrekking hebben op de bescherming van grondrechten en fundamentele vrijheden in het kader van de verwerking van persoonsgegevens waarvoor de in Richtlijn 2002/58/EG opgenomen specifieke verplichtingen met dezelfde doelstelling niet gelden, met inbegrip van de verplichtingen van de verwerkingsverantwoordelijke en de rechten van natuurlijke personen. Om de verhouding tussen deze verordening en Richtlijn 2002/58/EG te verduidelijken, dient die richtlijn dienovereenkomstig te worden gewijzigd. Zodra deze verordening is vastgesteld, dient Richtlijn 2002/58/EG te worden getoetst, met name om te zorgen voor samenhang met deze verordening. (136)(…) (137)(…) (138)(…) (139)(…)
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
80
NL
HOOFDSTUK I ALGEMENE BEPALINGEN Artikel 1 Onderwerp en doelstellingen 1.
Bij deze verordening worden regels vastgesteld betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens.
2.
Deze verordening beschermt de grondrechten en de fundamentele vrijheden van natuurlijke personen en met name hun recht op bescherming van persoonsgegevens.
2a.
(…)
3.
Het vrije verkeer van persoonsgegevens in de Unie wordt niet beperkt of verboden om redenen die betrekking hebben op de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens. Artikel 2 Materieel toepassingsgebied
1.
Deze verordening is van toepassing op de geheel of gedeeltelijk geautomatiseerde, alsmede op de niet-geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.
2.
Deze verordening is niet van toepassing op de verwerking van persoonsgegevens: a)
in het kader van activiteiten die buiten de werkingssfeer van het Unierecht vallen;
b)
(…)
c)
door de lidstaten bij de uitvoering van activiteiten die binnen de werkingssfeer van titel V, hoofdstuk 2, van het Verdrag betreffende de Europese Unie vallen;
d)
door een natuurlijke persoon bij de uitoefening van een zuiver persoonlijke of huishoudelijke activiteit;
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
81
NL
e)
door de bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van strafrechtelijke sancties, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid.
2a.
Op de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie is Verordening (EG) nr. 45/2001 van toepassing. Verordening (EG) nr. 45/2001 en andere rechtsinstrumenten van de Unie die van toepassing zijn op een dergelijke verwerking van persoonsgegevens worden overeenkomstig artikel 90a aan de beginselen en regels van de onderhavige verordening aangepast.
3.
Deze verordening laat de toepassing van Richtlijn 2000/31/EG, en met name van de bepalingen in de artikelen 12 tot en met 15 van die richtlijn betreffende de aansprakelijkheid van dienstverleners die als tussenpersoon optreden, onverlet. Artikel 3 Territoriaal toepassingsgebied
1.
Deze verordening is van toepassing op de verwerking van persoonsgegevens in het kader van de activiteiten van een vestiging van een verwerkingsverantwoordelijke of een verwerker in de Unie, ongeacht of de verwerking in de Unie plaatsvindt of niet.
2.
Deze verordening is van toepassing op de verwerking van persoonsgegevens van betrokkenen die zich in de Unie bevinden, door een niet in de Unie gevestigde verwerkingsverantwoordelijke of verwerker, wanneer de verwerking betrekking heeft op: a)
het aanbieden van goederen of diensten aan deze betrokkenen in de Unie, ongeacht of een betaling door de betrokkenen is vereist; of
b) 3.
het monitoren van hun gedrag, voor zover dit gedrag in de Europese Unie plaatsvindt.
Deze verordening is van toepassing op de verwerking van persoonsgegevens door een verwerkingsverantwoordelijke die niet in de Unie is gevestigd, maar op een plaats waar krachtens het internationaal publiekrecht de nationale wetgeving van een lidstaat van toepassing is.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
82
NL
Artikel 4 Definities Voor de toepassing van deze verordening wordt verstaan onder: 1)
"persoonsgegevens": alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon ("de betrokkene"); als identificeerbaar wordt beschouwd een persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatiemiddel, zoals een naam, een identificatienummer, locatiegegevens, een online identificatiemiddel of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die persoon;
2)
(…)
3)
"verwerking": elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;
3a)
"beperken van de verwerking": het markeren van opgeslagen persoonsgegevens met als doel de verwerking ervan in de toekomst te beperken;
3aa) "profilering": elke vorm van geautomatiseerde verwerking van persoonsgegevens waarbij aan de hand van die gegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd, met de bedoeling met name diens beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen; 3b)
"pseudonimisering": het verwerken van persoonsgegevens op zodanige wijze dat de gegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt, mits deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen om niet-koppeling aan een geïdentificeerde of identificeerbare persoon te waarborgen;
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
83
NL
4)
"bestand": elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit geheel gecentraliseerd of gedecentraliseerd is, dan wel verspreid op functionele of geografische gronden;
5)
"verwerkingsverantwoordelijke": de natuurlijke persoon of rechtspersoon, de overheidsinstantie, de dienst of enig ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer het doel van en de middelen voor de verwerking worden vastgesteld bij Uniewetgeving of nationale wetgeving, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen;
6)
"verwerker": de natuurlijke persoon of rechtspersoon, de overheidsinstantie, de dienst of enig ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt;
7)
"ontvanger": de natuurlijke persoon of rechtspersoon, de overheidsinstantie, de dienst of enig ander orgaan, al dan niet een derde, aan wie/waaraan de persoonsgegevens worden verstrekt. Overheidsinstanties die mogelijk persoonsgegevens ontvangen in het kader van een bijzonder onderzoek overeenkomstig Uniewetgeving of nationale wetgeving, gelden echter niet als ontvangers; de verwerking van deze gegevens door die overheidsinstanties strookt met de gegevensbeschermingsregels die op het betreffende verwerkingsdoel van toepassing zijn;
7a)
"derde": de natuurlijke persoon of rechtspersoon, de overheidsinstantie, de dienst of enig ander orgaan, niet zijnde de betrokkene, noch de verwerkingsverantwoordelijke, noch de verwerker, noch de personen die onder rechtstreeks gezag van de verwerkingsverantwoordelijke of de verwerker gemachtigd zijn om de gegevens te verwerken;
8)
"toestemming van de betrokkene": elke vrije, specifieke, op informatie berustende en ondubbelzinnige wilsuiting waarmee de betrokkene, door middel van hetzij een verklaring hetzij een ondubbelzinnige actieve handeling, aanvaardt dat hem betreffende persoonsgegevens worden verwerkt;
9)
"inbreuk in verband met persoonsgegevens": een inbreuk op de beveiliging met de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig, tot gevolg;
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
84
NL
10)
"genetische gegevens": alle persoonsgegevens met betrekking tot de overgeërfde of verworven genetische kenmerken van een natuurlijke persoon die unieke informatie verschaffen over de fysiologie of de gezondheid van die persoon en die met name voortkomen uit een analyse van een biologisch monster van die persoon;
11)
"biometrische gegevens": alle persoonsgegevens die het resultaat zijn van een specifieke technische verwerking met betrekking tot de fysieke, fysiologische of gedragskenmerken van een persoon op grond waarvan de eenduidige identificatie van die persoon mogelijk is of bevestigd wordt, zoals afbeeldingen van het gezicht of dactyloscopische gegevens;
12)
"gegevens over gezondheid": persoonsgegevens met betrekking tot de fysieke of mentale gezondheid van een natuurlijke persoon, waaronder gegevens over verleende gezondheidsdiensten, waarmee informatie over zijn gezondheidstoestand wordt gegeven;
12a) (…) 13)
14)
"hoofdvestiging": a)
met betrekking tot een verwerkingsverantwoordelijke die vestigingen heeft in meer dan één lidstaat, de plaats waar zich zijn centrale administratie in de Unie bevindt. Wanneer evenwel de besluiten over het doel van en de middelen voor de verwerking van persoonsgegevens worden genomen in een andere vestiging van de verwerkingsverantwoordelijke die zich eveneens in de Unie bevindt, en die tevens gemachtigd is die besluiten te implementeren, wordt de vestiging waar die besluiten worden genomen, als de hoofdvestiging beschouwd;
b)
met betrekking tot een verwerker die vestigingen heeft in meer dan één lidstaat, de plaats waar zich zijn centrale administratie in de Unie bevindt en, wanneer de verwerker geen centrale administratie in de Unie heeft, de vestiging van de verwerker in de Unie waar de voornaamste verwerkingsactiviteiten in het kader van de activiteiten van een vestiging van de verwerker plaatsvinden, voor zover op de verwerker krachtens deze verordening specifieke verplichtingen rusten;
"vertegenwoordiger": elke in de Unie gevestigde natuurlijke persoon of rechtspersoon die uit hoofde van artikel 25 schriftelijk door de verwerkingsverantwoordelijke of de verwerker is aangewezen om de verwerkingsverantwoordelijke of de verwerker te vertegenwoordigen in verband met hun respectieve verplichtingen krachtens deze verordening;
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
85
NL
15)
"onderneming": iedere natuurlijke persoon of rechtspersoon die een economische activiteit uitoefent, ongeacht de rechtsvorm ervan, met inbegrip van persoonsvennootschappen of verenigingen die regelmatig een economische activiteit uitoefenen;
16)
"groep van ondernemingen": een onderneming die zeggenschap uitoefent en de ondernemingen waarover die zeggenschap wordt uitgeoefend;
17)
"bindende bedrijfsvoorschriften": beleid inzake de bescherming van persoonsgegevens dat een op het grondgebied van een lidstaat van de Unie gevestigde verwerkingsverantwoordelijke of verwerker voert met betrekking tot de doorgifte of reeksen van doorgiften van persoonsgegevens aan een verwerkingsverantwoordelijke of verwerker in een of meer derde landen binnen een groep van ondernemingen die al dan niet gezamenlijk een economische activiteit uitoefenen;
18)
(…)
19)
"toezichthoudende autoriteit": een door een lidstaat ingevolge artikel 46 ingestelde onafhankelijke overheidsinstantie;
19a) "betrokken toezichthoudende autoriteit": een toezichthoudende autoriteit die betrokken is bij de verwerking: a)
omdat de verwerkingsverantwoordelijke of de verwerker op het grondgebied van de lidstaat van die toezichthoudende autoriteit gevestigd is;
b)
omdat de betrokkenen die in die lidstaat verblijven, door de verwerking wezenlijke gevolgen ondervinden of waarschijnlijk zullen ondervinden; of
c)
omdat bij die toezichthoudende autoriteit een klacht is ingediend.
19b) "grensoverschrijdende verwerking van persoonsgegevens": a)
verwerking in het kader van de activiteiten van vestigingen in meer dan één lidstaat van een verwerkingsverantwoordelijke of een verwerker in de Unie die in meer dan één lidstaat is gevestigd; of
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
86
NL
b)
verwerking in het kader van de activiteiten van één vestiging van een verwerkingsverantwoordelijke of van een verwerker in de Unie, waardoor in meer dan één lidstaat betrokkenen wezenlijke gevolgen ondervinden of waarschijnlijk zullen ondervinden.
19c) "relevant en gemotiveerd bezwaar": een bezwaar over het al dan niet bestaan van een inbreuk op deze verordening, of, in voorkomend geval, over de vraag of de voorgenomen maatregel met betrekking tot de verwerkingsverantwoordelijke of de verwerker strookt met deze verordening. In het bezwaar wordt duidelijk de omvang aangetoond van de risico's die het ontwerpbesluit inhoudt voor de grondrechten en de fundamentele vrijheden van betrokkenen en, indien van toepassing, voor het vrije verkeer van persoonsgegevens binnen de Unie; 20)
"dienst van de informatiemaatschappij": elke dienst als gedefinieerd in artikel 1, lid 2, van Richtlijn 98/34/EG van het Europees Parlement en de Raad van 22 juni 1998 betreffende een informatieprocedure op het gebied van normen en technische voorschriften en regels betreffende de diensten van de informatiemaatschappij;
21)
"internationale organisatie": een organisatie en de daaronder ressorterende internationaalpubliekrechtelijke organen of andere organen die zijn opgericht bij of op grond van een overeenkomst tussen twee of meer landen.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
87
NL
HOOFDSTUK II BEGINSELEN Artikel 5 Beginselen inzake de verwerking van persoonsgegevens 1.
Persoonsgegevens dienen: a)
te worden verwerkt op een wijze die rechtmatig, behoorlijk en transparant is ten overstaan van de betrokkene ("rechtmatigheid, behoorlijkheid en transparantie");
b)
voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doelen te worden verzameld en mogen vervolgens niet verder op een met die doelen onverenigbare wijze worden verwerkt; de verdere verwerking van persoonsgegevens met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doelen wordt overeenkomstig artikel 83, lid 1, niet als onverenigbaar met de oorspronkelijke doelen beschouwd ("doelbinding");
c)
toereikend te zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor het doel waarvoor zij worden verwerkt ("minimale gegevensverwerking");
d)
juist te zijn en zo nodig te worden geactualiseerd; alle redelijke maatregelen moeten worden genomen om de persoonsgegevens die, gelet op de doelen waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren ("juistheid");
e)
te worden bewaard in een vorm die het mogelijk maakt de betrokkenen niet langer dan voor de doelen waarvoor de persoonsgegevens worden verwerkt noodzakelijk is, te identificeren; persoonsgegevens mogen voor langere perioden worden opgeslagen voor zover de gegevens louter met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doelen worden verwerkt overeenkomstig artikel 83, lid 1, mits de bij de verordening vereiste passende technische en organisatorische maatregelen worden getroffen om de rechten en vrijheden van de betrokkene te beschermen ("opslagbeperking");
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
88
NL
eb)
door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier te worden verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging ("integriteit en vertrouwelijkheid");
2.
ee)
(…)
f)
(…)
De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van lid 1 en kan deze aantonen ("verantwoordingsplicht").
Artikel 6 Rechtmatigheid van de verwerking
1.
De verwerking van persoonsgegevens is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaan: a)
de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doelen;
b)
de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van de overeenkomst maatregelen te nemen;
c)
de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;
d)
de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen;
e)
de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend;
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
89
NL
f)
de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, boven die belangen prevaleren, met name wanneer de betrokkene een kind is. Dit geldt niet voor de verwerking door overheidsinstanties in het kader van de uitoefening van hun taken.
2.
(…)
2a. (nieuw) De lidstaten kunnen specifiekere bepalingen handhaven of invoeren om de manier waarop de regels van deze verordening met betrekking tot de verwerking van persoonsgegevens met het oog op de naleving van artikel 6, lid 1, punten c) en e), worden toegepast, aan te passen; hiertoe kunnen zij een nadere omschrijving geven van specifieke voorschriften voor de verwerking en andere maatregelen om een rechtmatige en behoorlijke verwerking te waarborgen, ook voor andere specifieke verwerkingssituaties als bedoeld in hoofdstuk IX. 3.
De rechtsgrond voor de in lid 1, punten c) en e), bedoelde verwerking moet worden vastgesteld bij: a)
Uniewetgeving, of
b)
nationale wetgeving die op de verwerkingsverantwoordelijke van toepassing is.
Het doel van de verwerking wordt in deze rechtsgrond vastgesteld of is, met betrekking tot de verwerking bedoeld in lid 1, punt e), noodzakelijk voor de vervulling van een taak van algemeen belang of voor de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend. Deze rechtsgrond kan specifieke bepalingen bevatten om de toepassing van de regels van deze verordening aan te passen, met inbegrip van de algemene voorwaarden inzake de rechtmatigheid van gegevensverwerking door de verwerkingsverantwoordelijke; het type verwerkte gegevens; de betrokkenen; de entiteiten waaraan en de doelen waarvoor de gegevens mogen worden verstrekt; de doelbinding; de opslagperioden en verwerkingsactiviteiten en -procedures, waaronder maatregelen om te zorgen voor een rechtmatige en behoorlijke verwerking, ook voor andere specifieke verwerkingssituaties als bedoeld in hoofdstuk IX. De Uniewetgeving of nationale wetgeving moet beantwoorden aan een doelstelling van algemeen belang en evenredig zijn met het nagestreefde gerechtvaardigde doel.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
90
NL
3a.
Wanneer de verwerking voor een ander doel dan dat waarvoor de gegevens zijn verzameld niet berust op toestemming van de betrokkene of op een Unierechtelijke of nationaalrechtelijke bepaling die in een democratische samenleving een noodzakelijke en evenredige maatregel vormt ter waarborging van de doelstellingen van artikel 21, lid 1, punten aa) tot en met g), houdt de verwerkingsverantwoordelijke bij het beoordelen van de vraag of de verwerking voor een ander doel verenigbaar is met het doel waarvoor de gegevens in eerste instantie zijn verzameld onder meer rekening met: a)
ieder verband tussen de doelen waarvoor de gegevens zijn verzameld, en de doelen van de voorgenomen verdere verwerking;
b)
het kader waarin de persoonsgegevens zijn verzameld, met name wat de verhouding tussen de betrokkenen en de verwerkingsverantwoordelijke betreft;
c)
de aard van de persoonsgegevens, met name of bijzondere categorieën van persoonsgegevens worden verwerkt, overeenkomstig artikel 9; en of gegevens over strafrechtelijke veroordelingen en strafbare feiten worden verwerkt, overeenkomstig artikel 9a;
d)
de mogelijke gevolgen van de voorgenomen verdere verwerking voor de betrokkenen;
e)
het bestaan van passende waarborgen, waaronder eventueel versleuteling of pseudonimisering.
4.
(…)
5.
(…) Artikel 7 Voorwaarden voor toestemming
1.
Wanneer de verwerking berust op toestemming, kan de verwerkingsverantwoordelijke aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens.
1a.
(…)
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
91
NL
2.
Indien de betrokkene toestemming geeft in het kader van een schriftelijke verklaring die ook op andere aangelegenheden betrekking heeft, moet het verzoek om toestemming zodanig worden gepresenteerd dat een duidelijk onderscheid kan worden gemaakt met de andere aangelegenheden, in een begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal. Wanneer een gedeelte van de verklaring waarvoor de betrokkene zijn toestemming heeft gegeven, een inbreuk vormt op deze verordening, is dit gedeelte niet bindend.
3.
De betrokkene heeft het recht zijn toestemming te allen tijde in te trekken. Het intrekken van de toestemming laat de rechtmatigheid van de verwerking op basis van de toestemming vóór de intrekking daarvan, onverlet. Alvorens de betrokkene zijn toestemming geeft, wordt hij daarvan in kennis gesteld. Het intrekken van de toestemming is even eenvoudig als het geven ervan.
4.
Bij het beoordelen van de vraag of de toestemming vrijelijk kan worden gegeven, wordt onder meer ten sterkste rekening gehouden met de vraag of voor de uitvoering van een overeenkomst, waaronder een overeenkomst betreffende het verlenen van een dienst, toestemming vereist is voor een verwerking van gegevens die voor de uitvoering van de overeenkomst niet noodzakelijk is. Artikel 8 Voorwaarden die van toepassing zijn op de toestemming van kinderen met betrekking tot diensten van de informatiemaatschappij
1.
Wanneer artikel 6, lid 1, punt a), van toepassing is in verband met een rechtstreeks aanbod van diensten van de informatiemaatschappij aan een kind, is de verwerking van persoonsgegevens van een kind jonger dan 16 jaar, dan wel, ingeval nationale wetgeving daarin voorziet, van een jongere leeftijd die niet onder de 13 jaar ligt, slechts rechtmatig indien en voor zover de toestemming of machtiging tot toestemming in dit verband wordt verleend door de persoon die de ouderlijke verantwoordelijkheid voor het kind draagt.
1a.
Met inachtneming van de beschikbare technologie doet de verwerkingsverantwoordelijke een redelijke inspanning om in dergelijke gevallen te controleren of de persoon die de ouderlijke verantwoordelijkheid voor het kind draagt, toestemming heeft gegeven of machtiging tot toestemming heeft verleend.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
92
NL
2.
Lid 1 laat het algemene overeenkomstenrecht van de lidstaten, zoals de regels inzake de geldigheid, de totstandkoming of de gevolgen van een overeenkomst ten opzichte van een kind, onverlet.
3.
(…)
4.
(…). Artikel 9 Verwerking van bijzondere categorieën van persoonsgegevens
1.
Verwerking van persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuiging, of het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, seksueel gedrag en seksuele gerichtheid zijn verboden.
2.
Lid 1 is niet van toepassing wanneer aan een van de onderstaande voorwaarden is voldaan: a)
de betrokkene heeft uitdrukkelijke toestemming gegeven voor de verwerking van die persoonsgegevens voor een of meer gespecificeerde doelen, behalve indien in de Uniewetgeving of de nationale wetgeving is bepaald dat het in lid 1 genoemde verbod niet door de betrokkene kan worden opgeheven; of
b)
de verwerking is noodzakelijk met het oog op de uitvoering van de verplichtingen en de uitoefening van specifieke rechten van de verwerkingsverantwoordelijke of van de betrokkene op het gebied van het arbeidsrecht en het socialezekerheids- en socialebeschermingsrecht, voor zover zulks is toegestaan bij Uniewetgeving of nationale wetgeving of bij een collectieve overeenkomst op grond van nationale wetgeving en deze passende waarborgen voor de grondrechten en de fundamentele belangen van de betrokkene biedt; of
c)
de verwerking is noodzakelijk ter bescherming van de vitale belangen van de betrokkene of van een andere persoon indien de betrokkene lichamelijk of juridisch niet in staat is zijn toestemming te geven; of
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
93
NL
d)
de verwerking wordt verricht door een stichting, een vereniging of een andere instantie zonder winstoogmerk die op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied werkzaam is, in het kader van haar gerechtvaardigde activiteiten en met passende waarborgen, mits de verwerking uitsluitend betrekking heeft op de leden of de voormalige leden van de instantie of op personen die in verband met haar doelen regelmatig contact met haar onderhouden, en de gegevens niet zonder de toestemming van de betrokkenen buiten die instantie worden verstrekt; of
e)
de verwerking heeft betrekking op persoonsgegevens die kennelijk door de betrokkene openbaar zijn gemaakt; of
f)
de verwerking is noodzakelijk voor de instelling, uitoefening of verdediging van een rechtsvordering of wanneer rechterlijke instanties handelen in het kader van hun rechtsbevoegdheid; of
g)
de verwerking is noodzakelijk om redenen van zwaarwegend algemeen belang, op grond van Uniewetgeving of nationale wetgeving, waarbij de evenredigheid met het nagestreefde doel wordt gewaarborgd, de wezenlijke inhoud van het recht op bescherming van persoonsgegevens wordt geëerbiedigd en passende en specifieke maatregelen worden getroffen ter bescherming van de grondrechten en de fundamentele belangen van de betrokkene; of
h)
de verwerking is noodzakelijk voor doelen van preventieve of arbeidsgeneeskunde, voor de beoordeling van de arbeidsgeschiktheid van de werknemer, medische diagnosen, het verstrekken van gezondheidszorg of sociale diensten of behandelingen dan wel het beheren van gezondheidszorgstelsels en -diensten of sociale stelsels en diensten, op grond van Uniewetgeving of nationale wetgeving, of uit hoofde van een overeenkomst met een gezondheidswerker en behoudens de in lid 4 genoemde voorwaarden en waarborgen; of
hb)
de verwerking is noodzakelijk om redenen van algemeen belang op het gebied van de volksgezondheid, zoals bescherming tegen ernstige grensoverschrijdende gevaren voor de gezondheid of het waarborgen van hoge normen inzake kwaliteit en veiligheid van de gezondheidszorg en van geneesmiddelen of medische hulpmiddelen, op grond van Uniewetgeving of nationale wetgeving waarin passende en specifieke maatregelen zijn opgenomen ter bescherming van de rechten en vrijheden van de betrokkene, met name van het beroepsgeheim; of
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
94
NL
i)
de verwerking is noodzakelijk met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doelen overeenkomstig artikel 83, lid 1, op grond van Uniewetgeving of nationale wetgeving, waarbij de evenredigheid met het nagestreefde doel wordt gewaarborgd, de wezenlijke inhoud van het recht op bescherming van persoonsgegevens wordt geëerbiedigd en passende en specifieke maatregelen worden getroffen ter bescherming van de grondrechten en de belangen van de betrokkene.
j)
(…)
3.
(…)
4.
De in lid 1 bedoelde persoonsgegevens mogen worden verwerkt voor de in lid 2, punt h), genoemde doelen wanneer die gegevens worden verwerkt door of onder de verantwoordelijkheid van een beroepsbeoefenaar die krachtens Uniewetgeving of nationale wetgeving of krachtens door nationale bevoegde instanties vastgestelde regels aan het beroepsgeheim gebonden is, of door een andere persoon die eveneens krachtens Uniewetgeving of nationale wetgeving of krachtens door nationale bevoegde instanties vastgestelde regels tot geheimhouding verplicht is.
5.
De lidstaten kunnen bijkomende voorwaarden, waaronder beperkingen, met betrekking tot de verwerking van genetische gegevens, biometrische gegevens of gezondheidsgegevens handhaven of invoeren.
Artikel 9a Verwerking van gegevens betreffende strafrechtelijke veroordelingen en strafbare feiten Persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen mogen op grond van artikel 6, lid 1, alleen worden verwerkt onder toezicht van de overheid of indien de verwerking is toegestaan bij Uniewetgeving of nationale wetgeving welke passende waarborgen voor de rechten en vrijheden van de betrokkenen biedt. Omvattende registers van strafrechtelijke veroordelingen mogen alleen worden bijgehouden onder toezicht van de overheid.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
95
NL
Artikel 10 Verwerking waarvoor identificatie niet is vereist 1.
Indien de doelen waarvoor een verwerkingsverantwoordelijke persoonsgegevens verwerkt, niet of niet meer vereisen dat hij een betrokkene identificeert, is hij niet verplicht om, uitsluitend om aan deze verordening te voldoen, aanvullende gegevens ter identificatie van de betrokkene bij te houden, te verkrijgen of te verwerken.
2.
Wanneer de verwerkingsverantwoordelijke in dergelijke gevallen kan aantonen dat hij de betrokkene niet kan identificeren, stelt hij de betrokkene daarvan indien mogelijk in kennis. In dergelijke gevallen zijn de artikelen 15 tot en met 18 niet van toepassing, behalve wanneer de betrokkene, met het oog op de uitoefening van zijn rechten uit hoofde van deze artikelen, aanvullende gegevens verstrekt die het mogelijk maken hem te identificeren.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
96
NL
HOOFDSTUK III RECHTEN VAN DE BETROKKENE AFDELING 1 TRANSPARANTIE EN MODALITEITEN Artikel 11 Transparante informatie en communicatie 1.
(…)
2.
(…) Artikel 12 Transparante informatie, communicatie en modaliteiten voor de uitoefening van de rechten van de betrokkene
1.
De verwerkingsverantwoordelijke neemt passende maatregelen opdat de betrokkene de in de artikelen 14 en 14a bedoelde informatie en de in de artikelen 15 tot en met 20 en artikel 32 bedoelde communicatie in verband met de verwerking van persoonsgegevens in een beknopte, transparante, begrijpelijke en makkelijk toegankelijke vorm en in duidelijke en eenvoudige taal ontvangt, in het bijzonder wanneer de informatie specifiek voor een kind bestemd is. De informatie wordt schriftelijk of met andere middelen, indien passend in elektronische vorm, verstrekt. Indien de betrokkene daarom verzoekt, kan de informatie mondeling worden meegedeeld op voorwaarde dat de identiteit van de betrokkene met andere middelen bewezen is.
1a.
De verwerkingsverantwoordelijke faciliteert de uitoefening van de rechten van de betrokkene uit hoofde van de artikelen 15 tot en met 20. In de in artikel 10, lid 2, bedoelde gevallen weigert de verwerkingsverantwoordelijke niet gevolg te geven aan het verzoek van de betrokkene om diens rechten uit hoofde van de artikelen 15 tot en met 20 uit te oefenen, tenzij de verwerkingsverantwoordelijke aantoont dat hij niet in staat is de betrokkene te identificeren.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
97
NL
2.
De verwerkingsverantwoordelijke verstrekt de betrokkene zonder onredelijke vertraging en uiterlijk binnen een maand na ontvangst van het verzoek krachtens de artikelen 15 tot en met 20 informatie over het gevolg dat aan het verzoek is gegeven. Afhankelijk van de complexiteit van het verzoek en van het aantal verzoeken kan deze termijn indien nodig maximaal met nog eens twee maanden worden verlengd. Wanneer de verlengde termijn van toepassing is, wordt de betrokkene binnen één maand na ontvangst van het verzoek in kennis gesteld van de redenen voor het uitstel. Wanneer de betrokkene zijn verzoek elektronisch indient, wordt de informatie indien mogelijk elektronisch verstrekt, tenzij de betrokkene anderszins verzoekt.
3.
Wanneer de verwerkingsverantwoordelijke geen gevolg geeft aan het verzoek van de betrokkene, deelt hij deze laatste onverwijld en uiterlijk binnen één maand na ontvangst van het verzoek mee waarom het verzoek zonder gevolg is gebleven, en informeert hij hem over de mogelijkheid een klacht in te dienen bij een toezichthoudende autoriteit en beroep bij de rechter in te stellen.
4.
Het verstrekken van de informatie bedoeld in de artikelen 14 en 14a, en het verstrekken van de communicatie en het treffen van de maatregelen bedoeld in de artikelen 15 tot en met 20 en artikel 32 geschieden kosteloos. Wanneer verzoeken van een betrokkene kennelijk ongegrond of buitensporig zijn, met name vanwege hun repetitieve karakter, mag de verwerkingsverantwoordelijke een redelijke vergoeding aanrekenen in het licht van de administratieve kosten waarmee het verstrekken van de gevraagde informatie of communicatie en het treffen van de gevraagde maatregelen gepaard gaan, of mag de verwerkingsverantwoordelijke weigeren gevolg te geven aan het verzoek. In die gevallen is het aan de verwerkingsverantwoordelijke om de kennelijk ongegronde of buitensporige aard van het verzoek aan te tonen.
4a.
Onverminderd artikel 10 kan de verwerkingsverantwoordelijke, wanneer hij redenen heeft om te twijfelen aan de identiteit van de persoon die het verzoek doet als bedoeld in de artikelen 15 tot en met 19, om de nodige aanvullende informatie vragen ter bevestiging van de identiteit van de betrokkene.
4b.
De in de artikelen 14 en 14a bedoelde informatie aan de betrokkene mag worden verstrekt met gebruikmaking van gestandaardiseerde iconen, om de betrokkene een nuttig overzicht, in een goed zichtbare, begrijpelijke en duidelijk leesbare vorm, van de voorgenomen verwerking te bieden. Wanneer de iconen elektronisch worden weergegeven, zijn ze machinaal leesbaar.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
98
NL
4c.
De Commissie is bevoegd overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen om te bepalen welke informatie de iconen dienen weer te geven en via welke procedures de gestandaardiseerde iconen tot stand dienen te komen.
5.
(…)
6.
(…). Artikel 13 Rechten met betrekking tot ontvangers (…) AFDELING 2 INFORMATIE EN TOEGANG TOT GEGEVENS
Artikel 14 Te verstrekken informatie wanneer de gegevens bij de betrokkene worden verzameld 1.
Wanneer persoonsgegevens betreffende een betrokkene bij die persoon worden verzameld, verstrekt de verwerkingsverantwoordelijke de betrokkene op het moment van het verkrijgen van de persoonsgegevens de volgende informatie: a)
de identiteit en de contactgegevens van de verwerkingsverantwoordelijke en, in voorkomend geval, van de vertegenwoordiger van de verwerkingsverantwoordelijke; de verwerkingsverantwoordelijke verstrekt tevens, in voorkomend geval, de contactgegevens van de functionaris voor gegevensbescherming;
b)
de doelen van de verwerking waarvoor de persoonsgegevens zijn bestemd, en de rechtsgrond van de verwerking;
c)
de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, indien de verwerking is gebaseerd op artikel 6, lid 1, punt f);
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
99
NL
d)
in voorkomend geval, de ontvangers of categorieën van ontvangers van de persoonsgegevens;
e)
in voorkomend geval, dat de verwerkingsverantwoordelijke het voornemen heeft de persoonsgegevens door te geven aan een derde land of een internationale organisatie; of er al dan niet een adequaatheidsbesluit van de Commissie bestaat; en, in het geval van de doorgiften bedoeld in artikel 42, artikel 43 of artikel 44, lid 1, punt h), welke de passende of geschikte waarborgen zijn, hoe er een kopie van kan worden verkregen of waar ze kunnen worden geraadpleegd;
1a.
Naast de in lid 1 bedoelde informatie verstrekt de verwerkingsverantwoordelijke de betrokkene op het moment van het verkrijgen van de persoonsgegevens de volgende aanvullende informatie om een behoorlijke en transparante verwerking te waarborgen:
a)
de periode gedurende welke de persoonsgegevens zullen worden opgeslagen, of indien dat niet mogelijk is, de criteria die dienen om die termijn te bepalen;
b)
…
c)
…
d)
…
e)
dat de betrokkene het recht heeft de verwerkingsverantwoordelijke te verzoeken om toegang tot en rectificatie of wissing van de persoonsgegevens of beperking van de verwerking van hem betreffende persoonsgegevens, alsmede het recht tegen de verwerking van die persoonsgegevens bezwaar te maken en het recht op gegevensoverdraagbaarheid;
ea)
wanneer de verwerking op artikel 6, lid 1, punt a), of artikel 9, lid 2, punt a), is gebaseerd, dat de betrokkene het recht heeft de toestemming te allen tijde in te trekken, zonder dat dit afbreuk doet aan de rechtmatigheid van de verwerking op basis van de toestemming vóór de intrekking daarvan;
f)
dat de betrokkene het recht heeft een klacht in te dienen bij een toezichthoudende autoriteit;
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
100
NL
g)
of de verstrekking van persoonsgegevens een wettelijke of contractuele verplichting is dan wel een noodzakelijke voorwaarde om een overeenkomst te sluiten, en of de betrokkene verplicht is de gegevens te verstrekken en wat de mogelijke gevolgen zijn wanneer deze gegevens niet worden verstrekt;
h)
het bestaan van geautomatiseerde besluitvorming, met inbegrip van de in artikel 20, leden 1 en 3, bedoelde profilering, en, ten minste in die gevallen, nuttige informatie over de onderliggende logica, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene.
1b.
Wanneer de verwerkingsverantwoordelijke voornemens is de gegevens verder te verwerken voor een ander doel dan dat waarvoor de gegevens zijn verzameld, verstrekt de verwerkingsverantwoordelijke de betrokkene vóór die verdere verwerking informatie over dat andere doel en alle relevante verdere informatie als bedoeld in lid 1a.
2.
(…)
3.
(…)
4.
(…)
5.
De leden 1, 1a en 1b zijn niet van toepassing wanneer en voor zover de betrokkene reeds over de informatie beschikt.
6.
(…)
7.
(…)
8.
(…).
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
101
NL
Artikel 14a Te verstrekken informatie wanneer de gegevens niet van de betrokkene zijn verkregen 1.
Wanneer persoonsgegevens niet van de betrokkene zijn verkregen, verstrekt de verwerkingsverantwoordelijke de betrokkene de volgende informatie: a)
de identiteit en de contactgegevens van de verwerkingsverantwoordelijke en, in voorkomend geval, van de vertegenwoordiger van de verwerkingsverantwoordelijke; de verwerkingsverantwoordelijke verstrekt tevens, in voorkomend geval, de contactgegevens van de functionaris voor gegevensbescherming;
b)
de doelen van de verwerking waarvoor de persoonsgegevens zijn bestemd, en de rechtsgrond van de verwerking;
ba)
de betrokken categorieën van persoonsgegevens;
c)
(…)
d)
in voorkomend geval, de ontvangers of categorieën van ontvangers van de persoonsgegevens;
da)
in voorkomend geval, dat de verwerkingsverantwoordelijke het voornemen heeft de persoonsgegevens door te geven aan een ontvanger in een derde land of aan een internationale organisatie; of er al dan niet een adequaatheidsbesluit van de Commissie bestaat ; of, in het geval van de doorgiften bedoeld in artikel 42, artikel 43 of artikel 44, lid 1, punt h), welke de passende of geschikte waarborgen zijn, hoe er een kopie van kan worden verkregen of waar ze kunnen worden geraadpleegd;
2.
Naast de in lid 1 bedoelde informatie verstrekt de verwerkingsverantwoordelijke de betrokkene de volgende informatie om ten overstaan van de betrokkene een behoorlijke en transparante verwerking te waarborgen: b)
de periode gedurende welke de persoonsgegevens zullen worden opgeslagen, of indien dat niet mogelijk is, de criteria om die termijn te bepalen;
ba)
de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, indien de verwerking is gebaseerd op artikel 6, lid 1, punt f);
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
102
NL
c)
(…)
e)
dat de betrokkene het recht heeft de verwerkingsverantwoordelijke te verzoeken om toegang tot en rectificatie of wissing van persoonsgegevens of om beperking van de verwerking van hem betreffende persoonsgegevens, , alsmede het recht tegen de verwerking van die persoonsgegevens bezwaar te maken en het recht op gegevensoverdraagbaarheid;
ea)
wanneer de verwerking op artikel 6, lid 1, punt a) of artikel 9, lid 2, punt a), is gebaseerd, dat de betrokkene het recht heeft de toestemming te allen tijde in te trekken, zonder dat dit afbreuk doet aan de rechtmatigheid van de verwerking op basis van de toestemming vóór de intrekking daarvan;
f)
dat de betrokkene het recht heeft een klacht in te dienen bij een toezichthoudende autoriteit;
g)
de bron waar de persoonsgegevens vandaan komen, en in voorkomend geval, of zij afkomstig zijn van openbare bronnen;
h)
het bestaan van geautomatiseerde besluitvorming, met inbegrip van de in artikel 20, leden 1 en 3, bedoelde profilering, en, ten minste in die gevallen, nuttige informatie over de onderliggende logica, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene.
3.
De verwerkingsverantwoordelijke verstrekt de in de leden 1 en 2 bedoelde informatie: a)
binnen een redelijke termijn, maar uiterlijk binnen één maand na het verkrijgen van de gegevens, afhankelijk van de concrete omstandigheden waarin de gegevens worden verwerkt; of
b)
indien de gegevens zullen worden gebruikt voor communicatie met de betrokkene, uiterlijk op het moment van het eerste contact met de betrokkene; of
c)
indien verstrekking van de gegevens aan een andere ontvanger wordt overwogen, uiterlijk op het tijdstip waarop de gegevens voor het eerst worden verstrekt.
3a.
Wanneer de verwerkingsverantwoordelijke voornemens is de gegevens verder te verwerken voor een ander doel dan dat waarvoor de gegevens zijn verkregen, verstrekt de verwerkingsverantwoordelijke de betrokkene vóór die verdere verwerking informatie over dat andere doel en alle relevante verdere informatie als bedoeld in lid 2.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
103
NL
4.
De leden 1 tot en met 3a zijn niet van toepassing wanneer en voor zover: a)
de betrokkene reeds over de informatie beschikt; of
b)
het verstrekken van die informatie onmogelijk blijkt of onevenredig veel inspanning zou vergen; in het bijzonder bij verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doelen, behoudens de in artikel 83, lid 1, bedoelde voorwaarden en waarborgen, of voor zover het in lid 1 bedoelde recht de verwezenlijking van de doelen van de archivering in het algemeen belang en het wetenschappelijk of historisch onderzoek en de statistische doelen onmogelijk dreigt te maken of ernstig dreigt te verstoren; in dergelijke gevallen neemt de verwerkingsverantwoordelijke passende maatregelen om de rechten, de vrijheden en de gerechtvaardigde belangen van de betrokkene te beschermen, waaronder het openbaar maken van de informatie; of
c)
het verkrijgen of verstrekken van de gegevens uitdrukkelijk is voorgeschreven bij Uniewetgeving of nationale wetgeving die op de verwerkingsverantwoordelijke van toepassing is, en die wetgeving voorziet in passende maatregelen om de gerechtvaardigde belangen van de betrokkene te beschermen; of
d)
de gegevens vertrouwelijk moeten blijven uit hoofde van een beroepsgeheim in het kader van Uniewetgeving of nationale wetgeving, waaronder een statutaire geheimhoudingsplicht.
Artikel 15 Recht van toegang van de betrokkene 1.
De betrokkene heeft het recht om van de verwerkingsverantwoordelijke uitsluitsel te verkrijgen over het al dan niet verwerken van hem betreffende persoonsgegevens en, wanneer die persoonsgegevens inderdaad worden verwerkt, om toegang te verkrijgen tot die gegevens en tot de volgende informatie: a)
de doelen van de verwerking;
b)
de betrokken categorieën van persoonsgegevens;
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
104
NL
c)
de ontvangers of categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, met name ontvangers in derde landen of internationale organisaties;
d)
indien mogelijk, de periode gedurende welke de persoonsgegevens naar verwachting zullen worden opgeslagen, of indien dat niet mogelijk is, de criteria om die termijn te bepalen;
e)
dat de betrokkene het recht heeft de verwerkingsverantwoordelijke te verzoeken dat persoonsgegevens worden gerectificeerd of gewist, of dat de verwerking van hem betreffende persoonsgegevens wordt beperkt, alsmede het recht tegen de verwerking van die persoonsgegevens bezwaar te maken;
f)
dat de betrokkene het recht heeft een klacht in te dienen bij een toezichthoudende autoriteit;
g)
wanneer de persoonsgegevens niet bij de betrokkene worden verzameld, alle beschikbare informatie over de bron van die gegevens;
h)
het bestaan van geautomatiseerde besluitvorming, met inbegrip van de in artikel 20, leden 1 en 3, bedoelde profilering, en, ten minste in die gevallen, nuttige informatie over de onderliggende logica, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene.
1a.
Wanneer persoonsgegevens worden doorgegeven aan een derde land of een internationale organisatie, heeft de betrokkene het recht in kennis te worden gesteld van de passende waarborgen overeenkomstig artikel 42 inzake de doorgifte.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
105
NL
1b.
De verwerkingsverantwoordelijke verstrekt de betrokkene een kopie van de persoonsgegevens die worden verwerkt. Indien de betrokkene om bijkomende kopieën verzoekt, kan de verwerkingsverantwoordelijke een redelijke vergoeding voor de administratieve kosten aanrekenen. Wanneer de betrokkene zijn verzoek elektronisch indient, en niet om een andere regeling vraagt, wordt de informatie elektronisch verstrekt, in een gangbare vorm.
2.
(…)
2a.
Het in lid 1b bedoelde recht om een kopie te verkrijgen, doet geen afbreuk aan de rechten en vrijheden van anderen.
3.
(…)
4.
(…). AFDELING 3 RECTIFICATIE EN WISSING VAN GEGEVENS
Artikel 16 Recht op rectificatie De betrokkene heeft het recht om van de verwerkingsverantwoordelijke zonder onredelijke vertraging rectificatie van hem betreffende onjuiste persoonsgegevens te verkrijgen. Afhankelijk van de doelen waarvoor de gegevens worden verwerkt, heeft de betrokkene het recht completering van onvolledige persoonsgegevens te verkrijgen, onder meer via een aanvullende verklaring.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
106
NL
Artikel 17 Recht op wissing van gegevens ("recht om te worden vergeten") 1.
De betrokkene heeft het recht van de verwerkingsverantwoordelijke zonder onredelijke vertraging wissing van hem betreffende persoonsgegevens te verkrijgen en de verwerkingsverantwoordelijke is verplicht persoonsgegevens onverwijld te wissen wanneer een van de volgende gevallen van toepassing is: a)
de gegevens zijn niet langer nodig in verband met de doelen waarvoor zij zijn verzameld of anderszins verwerkt;
b)
de betrokkene trekt de toestemming waarop de verwerking overeenkomstig artikel 6, lid 1, punt a), of artikel 9, lid 2, punt a), berust, in, en er is geen andere rechtsgrond voor de verwerking van de gegevens;
c)
de betrokkene maakt bezwaar tegen de verwerking van de persoonsgegevens overeenkomstig artikel 19, lid 1, en er zijn geen prevalerende gerechtvaardigde gronden voor de verwerking, of de betrokkene maakt bezwaar tegen de verwerking van de persoonsgegevens overeenkomstig artikel 19, lid 2;
d)
de gegevens zijn onrechtmatig verwerkt;
e)
de gegevens moeten worden gewist om te voldoen aan een wettelijke verplichting krachtens Uniewetgeving of nationale wetgeving die op de verwerkingsverantwoordelijke rust;
f)
de gegevens zijn verzameld in verband met een aanbod van diensten van de informatiemaatschappij als bedoeld in artikel 8, lid 1.
1a.
(…)
2.
(…)
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
107
NL
2a.
Wanneer de verwerkingsverantwoordelijke de persoonsgegevens openbaar heeft gemaakt en overeenkomstig lid 1 verplicht is de gegevens te wissen, neemt hij, rekening houdend met de beschikbare technologie en de uitvoeringskosten, redelijke maatregelen, waaronder technische maatregelen, om verwerkingsverantwoordelijken die de gegevens verwerken, ervan op de hoogte te stellen dat de betrokkene de verwerkingsverantwoordelijken heeft gevraagd iedere koppeling naar, of kopie of reproductie van die persoonsgegevens te wissen.
3.
De leden 1 en 2 zijn niet van toepassing voor zover verwerking van de persoonsgegevens nodig is: a)
voor het uitoefenen van het recht op vrijheid van meningsuiting en informatie;
b)
voor het vervullen van een wettelijke verplichting tot het verwerken van persoonsgegevens welke is vastgesteld bij Uniewetgeving of nationale wetgeving die op de verwerkingsverantwoordelijke rust, of voor het vervullen van een taak van algemeen belang of het uitoefenen van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend;
c)
om redenen van algemeen belang op het gebied van volksgezondheid overeenkomstig artikel 9 lid 2, punten h) en hb), en artikel 9, lid 4;
d)
met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doelen overeenkomstig artikel 83, lid 1, voor zover het in lid 1 bedoelde recht de verwezenlijking van de doelen van de archivering en het wetenschappelijk of historisch onderzoek en de statistische doelen onmogelijk dreigt te maken of ernstig dreigt te verstoren.
e) 4.
(…)
5.
(…)
6.
(…)
7.
(…)
8.
(…)
9.
(…)
voor de instelling, uitoefening of verdediging van een rechtsvordering.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
108
NL
Artikel 17a Recht op beperking van de verwerking 1.
De betrokkene heeft het recht van de verwerkingsverantwoordelijke de beperking van de verwerking van persoonsgegevens te verkrijgen indien: a)
de juistheid van de gegevens door de betrokkene wordt betwist, gedurende een periode die de verwerkingsverantwoordelijke in staat stelt de juistheid van de gegevens te controleren;
ab)
de verwerking onrechtmatig is en de betrokkene zich tegen het wissen van de gegevens verzet en in de plaats daarvan om beperking van het gebruik ervan verzoekt;
b)
de verwerkingsverantwoordelijke de persoonsgegevens niet meer nodig heeft voor de doelen van de verwerking, maar de betrokkene deze nodig heeft voor de instelling, uitoefening of verdediging van een rechtsvordering; of
c)
de betrokkene overeenkomstig artikel 19, lid 1, bezwaar heeft gemaakt tegen de verwerking, in afwachting van het antwoord op de vraag of de gerechtvaardigde gronden van de verwerkingsverantwoordelijke boven die van de betrokkene prevaleren.
2.
Wanneer de verwerking van persoonsgegevens overeenkomstig lid 1 is beperkt, kunnen deze gegevens, afgezien van de opslag ervan, slechts worden verwerkt met toestemming van de betrokkene of voor de instelling, uitoefening of verdediging van een rechtsvordering of ter bescherming van de rechten van een andere natuurlijke persoon of rechtspersoon of om gewichtige redenen van algemeen belang voor de Unie of voor een lidstaat.
3.
Een betrokkene die overeenkomstig lid 1 heeft verkregen dat de verwerking van zijn persoonsgegevens wordt beperkt, wordt door de verwerkingsverantwoordelijke op de hoogte gebracht voordat de beperking van de verwerking wordt opgeheven.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
109
NL
Artikel 17b Kennisgevingsplicht inzake rectificatie, wissing of beperking De verwerkingsverantwoordelijke stelt iedere ontvanger aan wie gegevens zijn verstrekt, in kennis van elke rectificatie, wissing of beperking van de verwerking overeenkomstig artikel 16, artikel 17, lid 1, en artikel 17a, tenzij dit onmogelijk blijkt of onevenredig veel inspanning vergt. De verwerkingsverantwoordelijke verstrekt de betrokkene informatie over deze ontvangers indien de betrokkene hierom verzoekt.
Artikel 18 Recht op gegevensoverdraagbaarheid 1.
(…)
2.
De betrokkene heeft het recht de hem betreffende persoonsgegevens, die hij aan een verwerkingsverantwoordelijke heeft verstrekt, in een gestructureerde, gangbare en machinaal leesbare vorm te verkrijgen, en hij heeft het recht die gegevens aan een andere verwerkingsverantwoordelijke over te dragen, zonder daarbij door de verwerkingsverantwoordelijke aan wie de gegevens waren verstrekt, te worden gehinderd, indien: a)
de verwerking berust op toestemming uit hoofde van artikel 6, lid 1, punt a), of artikel 9, lid 2, punt a), of op een overeenkomst uit hoofde van artikel 6, lid 1, punt b); en
b)
de verwerking via geautomatiseerde procedés wordt verricht.
2a. (nieuw) Bij de uitoefening van zijn recht op gegevensoverdraagbaarheid uit hoofde van lid 1 heeft de betrokkene het recht te verkrijgen dat de gegevens, indien dit technisch mogelijk is, rechtstreeks van de ene verwerkingsverantwoordelijke naar de andere worden doorgezonden. 2a.
De uitoefening van dit recht laat artikel 17 onverlet. Het in lid 2 bedoelde recht geldt niet voor de verwerking die noodzakelijk is voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
110
NL
2aa. Het in lid 2 bedoelde recht doet geen afbreuk aan de rechten en vrijheden van anderen. 3.
(…)
AFDELING 4 RECHT VAN BEZWAAR EN GEAUTOMATISEERDE INDIVIDUELE BESLUITVORMING Artikel 19 Recht van bezwaar 1.
De betrokkene heeft te allen tijde het recht om, om redenen die verband houden met zijn specifieke situatie, bezwaar te maken tegen de verwerking van hem betreffende persoonsgegevens op basis van artikel 6, lid 1, punt e) of f), van artikel 6, lid 1, met inbegrip van profilering op basis van die bepalingen. De verwerkingsverantwoordelijke staakt de verwerking van de persoonsgegevens tenzij hij dwingende wettige redenen voor de verwerking aanvoert die prevaleren boven de belangen, rechten en vrijheden van de betrokkene of die verband houden met de instelling, uitoefening of verdediging van een rechtsvordering.
2.
Wanneer persoonsgegevens ten behoeve van direct marketing worden verwerkt, heeft de betrokkene te allen tijde het recht bezwaar te maken tegen de verwerking van hem betreffende persoonsgegevens voor dergelijke marketing, met inbegrip van profilering die betrekking heeft op direct marketing.
2a.
Wanneer de betrokkene bezwaar maakt tegen de verwerking ten behoeve van direct marketing, worden de persoonsgegevens niet meer voor deze doelen verwerkt.
2b. (nieuw) Het in de leden 1 en 2 bedoelde recht wordt uiterlijk op het moment van het eerste contact met de betrokkene uitdrukkelijk onder de aandacht van de betrokkene gebracht en duidelijk en gescheiden van enige andere informatie weergegeven.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
111
NL
2b.
In het kader van het gebruik van diensten van de informatiemaatschappij, en niettegenstaande Richtlijn 2002/58/EG, mag de betrokkene zijn recht van bezwaar uitoefenen via geautomatiseerde procedés waarbij gebruik wordt gemaakt van technische specificaties.
2aa. Wanneer persoonsgegevens overeenkomstig artikel 83, lid 1, met het oog op wetenschappelijk of historisch onderzoek of statistische doelen worden verwerkt, heeft de betrokkene het recht om, om redenen die verband houden met zijn specifieke situatie, bezwaar te maken tegen de verwerking van hem betreffende persoonsgegevens, tenzij de verwerking noodzakelijk is voor de uitvoering van een taak van algemeen belang.
3.
(…). Artikel 20 Geautomatiseerde individuele besluitvorming, waaronder profilering
1.
De betrokkene heeft het recht niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking, waaronder profilering, gebaseerd besluit waaraan voor hem rechtsgevolgen zijn verbonden of dat hem anderszins in aanmerkelijke mate treft.
1a.
Lid 1 geldt niet indien het besluit: a)
noodzakelijk is voor de sluiting of de uitvoering van een overeenkomst tussen de betrokkene en een verwerkingsverantwoordelijke; of
b)
is toegestaan bij Uniewetgeving of nationale wetgeving die op de verwerkingsverantwoordelijke van toepassing is en waarin ook passende maatregelen zijn opgenomen ter bescherming van de rechten en vrijheden en gerechtvaardigde belangen van de betrokkene; of
c)
berust op de uitdrukkelijke toestemming van de betrokkene.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
112
NL
1b.
In de in lid 1a, punten a) en c), bedoelde gevallen treft de verwerkingsverantwoordelijke passende maatregelen ter bescherming van de rechten en vrijheden en gerechtvaardigde belangen van de betrokkene, waaronder ten minste het recht op menselijke tussenkomst van de verwerkingsverantwoordelijke, het recht om zijn standpunt kenbaar te maken en het recht om het besluit aan te vechten.
2.
(…)
3.
De in lid 1a bedoelde besluiten worden niet gebaseerd op de in artikel 9, lid 1, bedoelde bijzondere categorieën van persoonsgegevens, tenzij artikel 9, lid 2, punt a) of g), van toepassing is en er passende maatregelen ter bescherming van de gerechtvaardigde belangen van de betrokkene zijn getroffen.
4.
(…)
5.
(…)
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
113
NL
AFDELING 5 Beperkingen Artikel 21 Beperkingen 1.
De reikwijdte van de verplichtingen en rechten als bedoeld in de artikelen 12 tot en met 20 en artikel 32, alsmede in artikel 5 kan, voor zover de bepalingen van die artikelen overeenstemmen met de rechten en verplichtingen als bedoeld in de artikelen 12 tot en met 20, door middel van een wettelijke maatregel in de Uniewetgeving of nationale wetgeving die op de verwerkingsverantwoordelijke of de verwerker van toepassing is, worden beperkt, op voorwaarde dat die beperking de wezenlijke inhoud van de grondrechten en fundamentele vrijheden onverlet laat en in een democratische samenleving een noodzakelijke en evenredige maatregel is ter waarborging van: aa)
de veiligheid van de staat;
ab)
landsverdediging;
a)
de openbare veiligheid;
b)
de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid;
c)
andere belangrijke doelstellingen van algemeen belang van de Unie of van een lidstaat, met name een belangrijk economisch of financieel belang van de Unie of van een lidstaat, met inbegrip van monetaire, budgettaire en fiscale aangelegenheden, volksgezondheid en sociale zekerheid;
ca)
de bescherming van de onafhankelijkheid van de rechter en justitiële procedures;
d)
de voorkoming, het onderzoek, de opsporing en de vervolging van schendingen van de beroepscodes voor gereglementeerde beroepen;
e)
een taak op het gebied van toezicht, inspectie of regelgeving die verband houdt, weze het incidenteel, met de uitoefening van het openbaar gezag in de onder aa), ab, a), b), c) en d), bedoelde gevallen;
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
114
NL
2.
f)
de bescherming van de betrokkene of van de rechten en vrijheden van anderen;
g)
de tenuitvoerlegging van civielrechtelijke vorderingen.
De in lid 1 bedoelde wettelijke maatregelen bevatten met name specifieke bepalingen met betrekking tot, in voorkomend geval, ten minste: a)
de doelen van de verwerking of de categorieën van verwerking,
b)
de categorieën van persoonsgegevens;
c)
het toepassingsgebied van de ingevoerde beperkingen,
d)
de waarborgen ter voorkoming van misbruik of onwettige toegang of doorgifte,
e)
de specificatie van de verwerkingsverantwoordelijke of de categorieën van verwerkingsverantwoordelijken,
f)
de opslagperiodes en de toepasselijke waarborgen, rekening houdend met de aard, de omvang en het doel van de verwerking of de categorieën van verwerking,
g)
de risico's voor de rechten en vrijheden van de betrokkenen, en
h)
het recht van betrokkenen om van de beperking op de hoogte te worden gesteld, tenzij dit een belemmering is voor het doel van de beperking.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
115
NL
HOOFDSTUK IV VERWERKINGSVERANTWOORDELIJKE EN VERWERKER AFDELING 1
A L G E M E N E V E R P L IC H T IN G Artikel 22
Verantwoordelijkheid van de verwerkingsverantwoordelijke 1.
Rekening houdend met de aard, de omvang, de context en het doel van de verwerking, alsmede met de risico's, van uiteenlopende waarschijnlijkheid en ernst, voor de rechten en vrijheden van natuurlijke personen, treft de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen om te waarborgen en te kunnen aantonen dat de verwerking van persoonsgegevens in overeenstemming met deze verordening wordt uitgevoerd. Deze maatregelen worden getoetst en indien nodig geactualiseerd.
2.
(…)
2a.
Wanneer zulks in verhouding staat tot de verwerkingsactiviteiten, omvatten de in lid 1 bedoelde maatregelen een passend gegevensbeschermingsbeleid dat door de verwerkingsverantwoordelijke wordt uitgevoerd.
2b.
Het aansluiten bij goedgekeurde gedragscodes overeenkomstig artikel 38 of een goedgekeurd certificeringsmechanisme overeenkomstig artikel 39 kan worden gebruikt als element om aan te tonen dat de verplichtingen van de verwerkingsverantwoordelijke worden nagekomen.
3.
(…)
4.
(…)
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
116
NL
Artikel 23 Gegevensbescherming door ontwerp en door standaardinstellingen 1.
Gelet op de stand van de technologie en de uitvoeringskosten, en rekening houdend met de aard, de omvang, de context en het doel van de verwerking en rekening houdend met de risico's van uiteenlopende waarschijnlijkheid en ernst voor de rechten en vrijheden van natuurlijke personen welke aan de verwerking zijn verbonden, treft de verwerkingsverantwoordelijke, zowel op het tijdstip van de bepaling van de verwerkingsmiddelen als op het tijdstip van de verwerking zelf, passende technische en organisatorische maatregelen, zoals pseudonimisering, die zijn opgesteld met als doel de gegevensbeschermingsbeginselen, zoals minimale gegevensverwerking, op een doeltreffende manier uit te voeren en de nodige waarborgen in de verwerking in te bouwen ter naleving van de voorschriften van deze verordening en ter bescherming van de rechten van de betrokkenen.
2.
De verwerkingsverantwoordelijke treft passende technische en organisatorische maatregelen om ervoor te zorgen dat in beginsel alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor elk specifiek doel van de verwerking. Dit geldt voor de hoeveelheid verzamelde gegevens, de mate waarin zij worden verwerkt, de periode waarin zij worden opgeslagen en de toegankelijkheid ervan. Deze maatregelen zorgen er met name voor dat persoonsgegevens in beginsel niet zonder menselijke tussenkomst voor een onbeperkt aantal natuurlijke personen toegankelijk worden gemaakt.
2a.
Een overeenkomstig artikel 39 goedgekeurd certificeringsmechanisme kan worden gebruikt als een element om aan te tonen dat aan de voorschriften van de leden 1 en 2 wordt voldaan.
3.
(…)
4.
(…)
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
117
NL
Artikel 24 Gezamenlijk voor de verwerking verantwoordelijken 1.
Wanneer twee of meer verwerkingsverantwoordelijken gezamenlijk de doelen en middelen van de verwerking van persoonsgegevens bepalen, zijn zij gezamenlijk voor de verwerking verantwoordelijken. Zij stellen op transparante wijze hun respectieve verantwoordelijkheden voor de nakoming van de verplichtingen uit hoofde van deze verordening vast, met name met betrekking tot de uitoefening van de rechten van de betrokkene en hun respectieve plicht om de in de artikelen 14 en 14a bedoelde informatie te verstrekken, door middel van een onderlinge regeling, tenzij, en voor zover, de respectieve verantwoordelijkheden van de verwerkingsverantwoordelijken zijn geregeld bij Uniewetgeving of nationale wetgeving die op de verwerkingsverantwoordelijken van toepassing is. In de regeling kan een contactpunt voor betrokkenen worden aangewezen.
2.
Ongeacht de voorwaarden van de in lid 1 bedoelde regeling, kan de betrokkene zijn rechten uit hoofde van deze verordening met betrekking tot en jegens iedere verwerkingsverantwoordelijke uitoefenen.
3.
Uit deze regeling blijkt duidelijk welke effectieve rol de gezamenlijk voor de verwerking verantwoordelijken respectievelijk vervullen, en wat hun respectieve verhouding met de betrokkenen is; de wezenlijke inhoud van de regeling wordt aan de betrokkene beschikbaar gesteld. Artikel 25 Vertegenwoordigers van niet in de Unie gevestigde verwerkingsverantwoordelijken
1.
Wanneer artikel 3, lid 2, van toepassing is, wijst de verwerkingsverantwoordelijke of de verwerker schriftelijk een vertegenwoordiger in de Unie aan.
2.
Deze verplichting geldt niet voor: a)
(…);
b)
incidentele verwerking die geen verwerking op grote schaal van speciale categorieën
van gegevens als bedoeld in artikel 9, lid 1, betreft noch verwerking van gegevens in verband met strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 9a, en waarbij de kans gering is dat ze leidt tot een risico voor de rechten en vrijheden van natuurlijke personen, rekening houdend met de aard, de context, de omvang en de doelen van de verwerking; of
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
118
NL
3.
c)
een overheidsinstantie of overheidsorgaan.
d)
(…)
De vertegenwoordiger is gevestigd in een van de lidstaten waar zich de betrokkenen bevinden wier persoonsgegevens in verband met het hun aanbieden van goederen of diensten worden verwerkt, of wier gedrag wordt geobserveerd.
3a.
Teneinde de naleving van deze verordening te waarborgen, wordt de vertegenwoordiger door de verwerkingsverantwoordelijke of de verwerker gemachtigd om naast hem of in zijn plaats te worden benaderd, meer bepaald door de toezichthoudende autoriteiten en betrokkenen, over alle aangelegenheden in verband met de verwerking van persoonsgegevens.
4.
Het feit dat de verwerkingsverantwoordelijke of de verwerker een vertegenwoordiger aanwijzen, laat de mogelijkheid om tegen de verwerkingsverantwoordelijke of de verwerker zelf vorderingen in te stellen onverlet. Artikel 26 Verwerker
1.
Wanneer een verwerking ten behoeve van een verwerkingsverantwoordelijke wordt verricht, doet de verwerkingsverantwoordelijke uitsluitend een beroep op verwerkers die afdoende garanties met betrekking tot het implementeren van passende technische en organisatorische maatregelen bieden opdat de verwerking aan het bepaalde in deze verordening voldoet en de bescherming van de rechten van de betrokkene gewaarborgd is.
1a.
De verwerker neemt geen andere verwerker in dienst zonder de voorafgaande specifieke of algemene schriftelijke toestemming van de verwerkingsverantwoordelijke. In het laatste geval moet de verwerker de verwerkingsverantwoordelijke altijd inlichten over beoogde veranderingen inzake de toevoeging of vervanging van andere verwerkers, zodat de verwerkingsverantwoordelijke de gelegenheid heeft tegen deze veranderingen bezwaar te maken.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
119
NL
2.
De uitvoering van verwerkingen door een verwerker wordt geregeld in een overeenkomst of andere rechtshandeling krachtens Uniewetgeving of nationale wetgeving die de verwerker aan de verwerkingsverantwoordelijke bindt, waarin het onderwerp en de duur van de verwerking, de aard en het doel van de verwerking, het soort persoonsgegevens en de categorieën van betrokkenen, de rechten en verplichtingen van de verwerkingsverantwoordelijke worden omschreven, en waarin met name wordt bepaald dat de verwerker: a)
de persoonsgegevens uitsluitend verwerkt op basis van schriftelijke instructies van de verwerkingsverantwoordelijke, onder meer met betrekking tot doorgiften van persoonsgegevens aan een derde land of een internationale organisatie, tenzij Uniewetgeving of nationale wetgeving die op de verwerker van toepassing is, hem tot verwerking verplicht; in dat geval stelt de verwerker de verwerkingsverantwoordelijke, voorafgaand aan de verwerking van de gegevens, in kennis van dat wettelijk voorschrift, tenzij die wetgeving deze kennisgeving om zwaarwegende redenen van algemeen belang verbiedt;
b)
waarborgt dat de tot het verwerken van de persoonsgegevens gemachtigde personen zich ertoe hebben verplicht vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheid gebonden zijn;
c)
alle overeenkomstig artikel 30 vereiste maatregelen neemt;
d)
aan de in de leden 1a en 2a bedoelde voorwaarden voor het in dienst nemen van een andere verwerker voldoet;
e)
rekening houdend met de aard van de verwerking, de verwerkingsverantwoordelijke door middel van passende technische en organisatorische maatregelen, voor zover mogelijk, bijstand verleent bij het vervullen van diens plicht om verzoeken om uitoefening van de in hoofdstuk III vastgestelde rechten van de betrokkene te beantwoorden;
f)
rekening houdend met de aard van de verwerking en de hem ter beschikking staande informatie de verwerkingsverantwoordelijke bijstand verleent bij het doen nakomen van de verplichtingen uit hoofde van de artikelen 30 tot en met 34;
g)
na afloop van de gegevensverwerkingsdiensten, naargelang van de keuze van de verwerkingsverantwoordelijke, alle persoonsgegevens wist of deze aan hem terugbezorgt, en bestaande kopieën verwijdert, tenzij opslag van de gegevens bij Uniewetgeving of nationale wetgeving is verplicht;
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
120
NL
h)
de verwerkingsverantwoordelijke alle informatie ter beschikking stelt die nodig is om de nakoming van de in dit artikel neergelegde verplichtingen aan te tonen en audits, waaronder inspecties, door de verwerkingsverantwoordelijke of een door de verwerkingsverantwoordelijke gemachtigde controleur mogelijk maakt en eraan bijdraagt. De verwerker stelt de verwerkingsverantwoordelijke onmiddellijk in kennis indien, naar zijn mening, een instructie een inbreuk op deze verordening of op de Unierechtelijke of nationaalrechtelijke bepalingen inzake gegevensbescherming vormt.
2a.
Wanneer een verwerker een andere verwerker in dienst neemt om ten behoeve van de verwerkingsverantwoordelijke specifieke verwerkingsactiviteiten te verrichten, worden aan deze andere verwerker bij een overeenkomst of een andere rechtshandeling krachtens Uniewetgeving of nationale wetgeving dezelfde verplichtingen inzake gegevensbescherming opgelegd als die welke in de in lid 2 bedoelde overeenkomst of andere rechtshandeling tussen de verwerkingsverantwoordelijke en de verwerker zijn opgenomen, met name de verplichting afdoende garanties met betrekking tot het implementeren van passende technische en organisatorische maatregelen te bieden opdat de verwerking aan het bepaalde in deze verordening voldoet. Wanneer de andere verwerker zijn verplichtingen inzake gegevensbescherming niet nakomt, blijft de eerste verwerker ten aanzien van de verwerkingsverantwoordelijke volledig aansprakelijk voor het nakomen van de verplichtingen van die andere verwerker.
2aa. Het feit dat de verwerker zich aansluit bij een goedgekeurde gedragscode overeenkomstig artikel 38 of een goedgekeurd certificeringsmechanisme overeenkomstig artikel 39 kan worden gebruikt als element om aan te tonen dat voldoende waarborgen als bedoeld in lid 1 en lid 2a worden geboden. 2ab. Onverminderd een individuele overeenkomst tussen de verwerkingsverantwoordelijke en de verwerker kan de in de leden 2 en 2a bedoelde overeenkomst of andere rechtshandeling geheel of ten dele gebaseerd zijn op de in de leden 2b en 2c bedoelde modelcontractbepalingen, ook indien die bepalingen deel uitmaken van de certificering die door een verwerkingsverantwoordelijke of verwerker uit hoofde van de artikelen 39 en 39a is verleend. 2b.
De Commissie kan voor de in de leden 2 en 2a genoemde aangelegenheden en volgens de in artikel 87, lid 2, bedoelde onderzoeksprocedure modelcontractbepalingen vaststellen.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
121
NL
2c.
Een toezichthoudende autoriteit kan voor de in de leden 2 en 2a genoemde aangelegenheden en volgens de in artikel 57 bedoelde conformiteitstoetsing modelcontractbepalingen opstellen.
3.
De in de leden 2 en 2a bedoelde overeenkomst of andere rechtshandeling is gesteld in schriftelijke vorm, onder meer in elektronische vorm.
4.
Indien een verwerker in strijd met deze verordening de doelen en middelen van een verwerking bepaalt, wordt die verwerker onverminderd de artikelen 77, 79 en 79b met betrekking tot die verwerking als de verwerkingsverantwoordelijke beschouwd.
5.
(…). Artikel 27 Verwerking onder gezag van de verwerkingsverantwoordelijke en de verwerker
De verwerker en eenieder die onder het gezag van de verwerkingsverantwoordelijke of van de verwerker handelt en toegang heeft tot persoonsgegevens, verwerkt deze uitsluitend in opdracht van de verwerkingsverantwoordelijke, tenzij hij op grond van Uniewetgeving of nationale wetgeving tot de verwerking verplicht is. Artikel 28 Register van de verwerkingsactiviteiten 1.
De verwerkingsverantwoordelijken en, in voorkomend geval, de vertegenwoordiger van de verwerkingsverantwoordelijke houdt een register van de verwerkingsactiviteiten die onder hun verantwoordelijkheid plaatsvinden. Dat register bevat de volgende gegevens: a)
de naam en de contactgegevens van de verwerkingsverantwoordelijke en eventuele gezamenlijk voor de verwerking verantwoordelijken, en, in voorkomend geval, van de vertegenwoordiger van de verwerkingsverantwoordelijke en van de functionaris voor gegevensbescherming;
b)
(…)
c)
de doelen van de verwerking;
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
122
NL
d)
een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens;
e)
de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, onder meer ontvangers in derde landen;
f)
indien van toepassing, doorgiften van gegevens aan een derde land of een internationale organisatie, met inbegrip van de vermelding van dat derde land of die internationale organisatie en, in geval van de in artikel 44, lid 1, punt h), bedoelde doorgiften, de documenten inzake de passende waarborgen;
g)
indien mogelijk, de beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist;
h)
indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen als bedoeld in artikel 30, lid 1.
2a.
De verwerker, en, in voorkomend geval, de vertegenwoordiger van de verwerker houdt een register van alle categorieën van verwerkingen van persoonsgegevens die zij ten behoeve van een verwerkingsverantwoordelijke hebben verricht. Dit register bevat de volgende gegevens: a)
de naam en de contactgegevens van de verwerkers en van iedere verwerkingsverantwoordelijke te wier behoeve de verwerker handelt, en, in voorkomend geval, van de vertegenwoordiger van de verwerkingsverantwoordelijke of de verwerker en van de functionaris voor gegevensbescherming;
b)
(…)
c)
de categorieën van verwerkingen die ten behoeve van iedere verwerkingsverantwoordelijke zijn uitgevoerd;
d)
indien van toepassing, doorgiften van gegevens aan een derde land of een internationale organisatie, onder vermelding van dat derde land of die internationale organisatie en, in geval van de in artikel 44, lid 1, punt h), bedoelde doorgiften, de documenten inzake de passende waarborgen;
e)
indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen als bedoeld in artikel 30, lid 1.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
123
NL
3a.
Het in de leden 1 en 2a bedoelde register is opgesteld in schriftelijke vorm, onder meer in elektronische vorm.
3.
Desgevraagd stellen de verwerkingsverantwoordelijke en de verwerker en, in voorkomend geval, de vertegenwoordiger van de verwerkingsverantwoordelijke of de verwerker het register ter beschikking van de toezichthoudende autoriteit.
4.
De in de leden 1 en 2a bedoelde verplichtingen zijn niet van toepassing op ondernemingen of organisaties die minder 250 personen in dienst hebben, tenzij het waarschijnlijk is dat de verwerking die zij verrichten een risico voor de rechten en vrijheden van de betrokkene inhoudt, de verwerking niet incidenteel is, of de verwerking speciale categorieën van gegevens, als bedoeld in artikel 9, lid 1, of verwerking van gegevens in verband met strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 9a betreft.
5.
(…)
6.
(…). Artikel 29 Medewerking met de toezichthoudende autoriteit
1.
De verwerkingsverantwoordelijke en de verwerker en, in voorkomend geval, de vertegenwoordiger van de verwerkingsverantwoordelijke of de verwerker, werken desgevraagd samen met de toezichthoudende autoriteit bij het vervullen van haar taken.
2.
(…).
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
124
NL
AFDELING 2 GEGEVENSBEVEILIGING Artikel 30 Beveiliging van de verwerking 1.
Gelet op de meest geavanceerde methoden en technieken en de uitvoeringskosten, en rekening houdend met de aard, de omvang, de context en de doelen van de verwerking en de risico's, van uiteenlopende waarschijnlijkheid en ernst, voor de rechten en vrijheden van personen, treffen de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, die, waar passend, onder meer het volgende omvatten: a)
de pseudonimisering en versleuteling van persoonsgegevens;
b)
het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de systemen en diensten die persoonsgegevens verwerken, te garanderen;
c)
het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de gegevens tijdig te herstellen;
d)
een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking.
1a.
Bij het beoordelen van het passende beveiligingsniveau wordt met name rekening gehouden met de risico's van gegevensverwerking, vooral als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig.
2.
(…)
2a.
Het aansluiten bij een goedgekeurde gedragscode overeenkomstig artikel 38 of een goedgekeurd certificeringsmechanisme overeenkomstig artikel 39 kan worden gebruikt als element om aan te tonen dat de in lid 1 bedoelde vereisten worden nageleefd.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
125
NL
2b.
De verwerkingsverantwoordelijke en de verwerker treffen maatregelen om ervoor te zorgen dat eenieder die handelt onder het gezag van de verwerkingsverantwoordelijke of van de verwerker en toegang heeft tot persoonsgegevens, deze slechts in opdracht van de verwerkingsverantwoordelijke verwerkt, tenzij hij op grond van Uniewetgeving of nationale wetgeving tot de verwerking verplicht is.
3.
(…)
4.
(…). Artikel 31
Melding van een inbreuk in verband met persoonsgegevens aan de toezichthoudende autoriteit 1.
Indien een inbreuk in verband met persoonsgegevens heeft plaatsgevonden, meldt de verwerkingsverantwoordelijke deze zonder onredelijke vertraging en - indien mogelijk - niet meer dan 72 uur nadat hij er kennis van heeft genomen, aan de overeenkomstig artikel 51 bevoegde toezichthoudende autoriteit, tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico voor de rechten en vrijheden van personen met zich meebrengt. Wanneer de melding aan de toezichthoudende autoriteit niet binnen 72 uur plaatsvindt, gaat deze vergezeld van een motivering.
1a.
(…)
2.
De verwerker informeert de verwerkingsverantwoordelijke zonder onredelijke vertraging zodra hij kennis heeft genomen van een inbreuk in verband met persoonsgegevens.
3.
In de in lid 1 bedoelde melding wordt ten minste het volgende omschreven of meegedeeld: a)
de aard van de inbreuk in verband met persoonsgegevens, onder vermelding van, waar mogelijk de categorieën van betrokkenen en gegevensbestanden in kwestie en, bij benadering, het aantal betrokkenen en gegevensbestanden in kwestie;
b)
de naam en de contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen;
c)
(…)
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
126
NL
d)
de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens;
e)
de maatregelen die de verwerkingsverantwoordelijke heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen ervan.
f) 3a.
(…)
Indien en voor zover het niet mogelijk is alle informatie gelijktijdig te verstrekken, kan de informatie zonder onnodige vertraging in stappen worden verstrekt.
4.
De verwerkingsverantwoordelijke documenteert alle inbreuken in verband met persoonsgegevens, met inbegrip van de feiten omtrent de inbreuk, de gevolgen ervan en de genomen corrigerende maatregelen. Deze documentatie moet de toezichthoudende autoriteit in staat stellen de naleving van dit artikel te controleren.
5.
(…)
6.
(…) Artikel 32 Mededeling van een inbreuk in verband met persoonsgegevens aan de betrokkene
1.
Wanneer de inbreuk in verband met persoonsgegevens waarschijnlijk een hoog risico voor de rechten en vrijheden van personen met zich meebrengt, deelt de verwerkingsverantwoordelijke de betrokkene de inbreuk in verband met persoonsgegevens zonder onredelijke vertraging mee.
2.
De in lid 1 bedoelde mededeling aan de betrokkene bevat een omschrijving, in duidelijke en eenvoudige taal, van de aard van de inbreuk in verband met persoonsgegevens en ten minste de in artikel 31, lid 3, punten b), d) en e), voorgeschreven gegevens en aanbevelingen.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
127
NL
3.
De in lid 1 bedoelde mededeling aan de betrokkene is niet vereist wanneer: a)
de verwerkingsverantwoordelijke passende technische en organisatorische beschermingsmaatregelen heeft genomen en deze maatregelen zijn toegepast op de gegevens waarop de inbreuk in verband met persoonsgegevens betrekking heeft, met name die welke de gegevens onbegrijpelijk maken voor onbevoegden, zoals versleuteling; of
b)
de verwerkingsverantwoordelijke achteraf maatregelen heeft genomen om ervoor te zorgen dat het in lid 1 bedoelde hoge risico voor de rechten en vrijheden van betrokkenen zich waarschijnlijk niet meer zal voordoen; of
c)
de mededeling onevenredige inspanningen zou vergen. In dat geval komt er in de plaats daarvan een openbare mededeling of een soortgelijke maatregel waarbij betrokkenen even doeltreffend worden geïnformeerd.
4.
Indien de verwerkingsverantwoordelijke de inbreuk in verband met persoonsgegevens nog niet aan de betrokkene heeft gemeld, kan de toezichthoudende autoriteit, na beraad over de kans dat de inbreuk een hoog risico met zich meebrengt, de verwerkingsverantwoordelijke daartoe verplichten of besluiten dat aan een van de in lid 3 bedoelde voorwaarden is voldaan.
5.
(…)
6.
(…). AFDELING 3 GEGEVENSBESCHERMINGSEFFECTBEOORDELING EN VOORAFGAANDE RAADPLEGING Artikel 33 Gegevensbeschermingseffectbeoordeling
1.
Wanneer een soort verwerking, in het bijzonder een verwerking waarbij nieuwe technologieën worden gebruikt, gelet op de aard, de omvang, de context of de doelen ervan, waarschijnlijk een hoog risico voor de rechten en vrijheden van personen oplevert, voert de verwerkingsverantwoordelijke vóór de verwerking een beoordeling uit van het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens. Eén beoordeling kan een reeks vergelijkbare verwerkingen bestrijken die vergelijkbare hoge risico's inhouden.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
128
NL
1a.
Wanneer een functionaris voor gegevensbescherming is aangewezen, wint de verwerkingsverantwoordelijke bij het uitvoeren van een gegevensbeschermingseffectbeoordeling diens advies in.
2.
Een gegevensbeschermingseffectbeoordeling als bedoeld in lid 1 is met name vereist in de volgende gevallen: a)
een systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen, die is gebaseerd op geautomatiseerde verwerking, waaronder profilering, en waarop besluiten worden gebaseerd waaraan voor de persoon rechtsgevolgen zijn verbonden of die de persoon op vergelijkbare wijze wezenlijk treffen;
b)
verwerking op grote schaal van speciale categorieën van gegevens als bedoeld in artikel 9, lid 1, of van gegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 9a;
2a.
c)
stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten.
d)
(…)
e)
(…)
De toezichthoudende autoriteit stelt een lijst op van het soort verwerkingsoperaties waarvoor een gegevensbeschermingseffectbeoordeling overeenkomstig lid 1 verplicht is, en maakt deze openbaar. De toezichthoudende autoriteit deelt deze lijst mee aan het Europees Comité voor gegevensbescherming.
2b.
De toezichthoudende autoriteit kan ook een lijst opstellen en openbaar maken van het soort verwerking waarvoor geen gegevensbeschermingseffectbeoordeling nodig is. De toezichthoudende autoriteit deelt deze lijst mee aan het Europees Comité voor gegevensbescherming.
2c.
Wanneer de in de leden 2a en 2b bedoelde lijsten betrekking hebben op verwerkingen met betrekking tot het aanbieden van goederen of diensten aan betrokkenen of op het observeren van hun gedrag in verschillende lidstaten, of op verwerkingen die het vrije verkeer van persoonsgegevens in de Unie wezenlijk kunnen beïnvloeden, past de bevoegde toezichthoudende autoriteit voorafgaand aan de vaststelling van die lijsten de in artikel 57 bedoelde conformiteitstoetsing toe.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
129
NL
3.
De beoordeling bevat ten minste: a)
een systematische beschrijving van de beoogde verwerkingen en de doelen van de verwerking, waaronder, in voorkomend geval, de gerechtvaardigde belangen die door de verwerkingsverantwoordelijke worden behartigd;
b)
een beoordeling van de noodzaak en de evenredigheid van de verwerkingen met betrekking tot de doelen;
c)
een beoordeling van de in lid 1 bedoelde risico's voor de rechten en vrijheden van betrokkenen;
d)
de beoogde maatregelen om de risico's aan te pakken, waaronder waarborgen, veiligheidsmaatregelen en mechanismen om de bescherming van persoonsgegevens te garanderen en om aan te tonen dat aan deze verordening is voldaan, met inachtneming van de rechten en gerechtvaardigde belangen van de betrokkenen en andere betrokken personen.
3a.
Bij het beoordelen van het effect van de door een verwerkingsverantwoordelijke of verwerker verrichte verwerkingen, en met name ter wille van een gegevensbeschermingseffectbeoordeling, wordt de naleving van de in artikel 38 bedoelde goedgekeurde gedragscodes naar behoren in aanmerking genomen.
4.
De verwerkingsverantwoordelijke vraagt in voorkomend geval de betrokkenen of hun vertegenwoordigers naar hun mening over de voorgenomen verwerking, met inachtneming van de bescherming van commerciële of algemene belangen of de beveiliging van de verwerkingen.
5.
Wanneer de verwerking uit hoofde van artikel 6, lid 1, punten c) of e), een Unierechtelijke of nationaalrechtelijke bepaling tot rechtsgrondslag heeft welke op de verwerkingsverantwoordelijke van toepassing is, en de specifieke verwerking of verwerkingen in kwestie bij die wetgeving wordt geregeld, en er reeds als onderdeel van een algemene effectbeoordeling in het kader van de vaststelling van deze rechtsgrond een gegevensbeschermingseffectbeoordeling is uitgevoerd, zijn de leden 1 tot en met 3 niet van toepassing, tenzij de lidstaten het noodzakelijk achten om voorafgaand aan de verwerkingen een dergelijke beoordeling uit te voeren.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
130
NL
6.
(…)
7.
(…)
8.
Indien nodig verricht de verwerkingsverantwoordelijke een toetsing om te beoordelen of de verwerking van persoonsgegevens overeenkomstig de gegevensbeschermingseffectbeoordeling wordt uitgevoerd, zulks ten minste indien het risico dat de verwerkingen inhouden, verandert. Artikel 34 Voorafgaande raadpleging
1.
(…)
2.
Wanneer uit een gegevensbeschermingseffectbeoordeling als bedoeld in artikel 33 blijkt dat de verwerking een hoog risico zou opleveren indien de verwerkingsverantwoordelijke geen maatregelen neemt om het risico te beperken, raadpleegt de verwerkingsverantwoordelijke voorafgaand aan de verwerking van persoonsgegevens de toezichthoudende autoriteit.
3.
Wanneer de toezichthoudende autoriteit van oordeel is dat de in lid 2 bedoelde voorgenomen verwerking niet aan deze verordening zal voldoen, met name wanneer de verwerkingsverantwoordelijke het risico onvoldoende heeft onderkend of beperkt, geeft zij binnen een maximumtermijn van acht weken na het verzoek om raadpleging schriftelijk advies aan de verwerkingsverantwoordelijke en in voorkomend geval aan de verwerker, en mag zij al haar in artikel 53 bedoelde bevoegdheden uitoefenen. Deze termijn kan, naargelang van de complexiteit van de voorgenomen verwerking, met zes weken worden verlengd. Wanneer de verlengde termijn van toepassing is, wordt de verwerkingsverantwoordelijke en, in voorkomend geval, de verwerker binnen een maand na ontvangst van het verzoek in kennis gesteld van onder meer de redenen voor de vertraging. Deze termijnen kunnen worden opgeschort totdat de toezichthoudende autoriteit de informatie waarom zij met het oog op de raadpleging eventueel heeft verzocht, heeft verkregen.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
131
NL
4.
(…)
5.
(…)
6.
Wanneer de verwerkingsverantwoordelijke de toezichthoudende autoriteit uit hoofde van lid 2 raadpleegt, verstrekt hij haar informatie over: a)
indien van toepassing, de respectieve verantwoordelijkheden van de verwerkingsverantwoordelijke, bij de verwerking betrokken gezamenlijk voor de verwerking verantwoordelijken en verwerkers, in het bijzonder voor verwerking binnen een groep van ondernemingen;
b)
de doelen en de middelen van de voorgenomen verwerking;
c)
de maatregelen en waarborgen die zijn genomen c.q. worden geboden ter bescherming van de rechten en vrijheden van betrokkenen uit hoofde van deze verordening;
d)
indien van toepassing, de contactgegevens van de functionaris voor gegevensbescherming;
7.
e)
de gegevensbeschermingseffectbeoordeling waarin bij artikel 33 is voorzien; en
f)
alle andere informatie waar de toezichthoudende autoriteit om verzoekt.
De lidstaten raadplegen de toezichthoudende autoriteit bij het opstellen van een voorstel voor een door een nationaal parlement vast te stellen wetgevingsmaatregel of een daarop gebaseerde regelgevingsmaatregel in verband met de verwerking van persoonsgegevens.
7a.
Niettegenstaande lid 2 kunnen de verwerkingsverantwoordelijken er bij nationale wetgeving toe worden verplicht overleg met de toezichthoudende autoriteit te plegen en om haar voorafgaande toestemming te verzoeken wanneer zij met het oog op de vervulling van een taak van algemeen belang persoonsgegevens verwerken, onder meer wanneer de verwerking van die gegevens verband houdt met sociale bescherming en volksgezondheid.
8.
(…)
9.
(…).
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
132
NL
AFDELING 4 FUNCTIONARIS VOOR GEGEVENSBESCHERMING
1.
Artikel 35 Aanwijzing van de functionaris voor gegevensbescherming De verwerkingsverantwoordelijke en de verwerker wijzen een functionaris voor gegevensbescherming aan in elk geval waarin: a) de verwerking wordt verricht door een overheidsinstantie of overheidsorgaan, behalve in het geval van rechterlijke instanties bij de uitoefening van hun rechterlijke taken; of b)
een verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met verwerkingen die vanwege hun aard, hun omvang en/of hun doel regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen; of
c)
de verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met verwerking op grote schaal van speciale categorieën van gegevens uit hoofde van artikel 9, lid 1, en van gegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 9a.
2.
Een groep van ondernemingen kan één functionaris voor gegevensbescherming benoemen, mits de functionaris voor gegevensbescherming vanuit elke vestiging makkelijk te contacteren is.
3.
Wanneer de verwerkingsverantwoordelijke of de verwerker een overheidsinstantie of overheidsorgaan is, kan één functionaris voor gegevensbescherming worden aangewezen voor verschillende dergelijke instanties of organen, met inachtneming van hun organisatiestructuur en omvang.
4.
In andere dan de in lid 1 bedoelde gevallen kunnen of, indien dat bij Uniewetgeving of nationale wetgeving is verplicht, moeten de verwerkingsverantwoordelijke of de verwerker of verenigingen en andere organen die categorieën van verwerkingsverantwoordelijken of verwerkers vertegenwoordigen, een functionaris voor gegevensbescherming aanwijzen. De functionaris voor gegevensbescherming kan optreden voor dergelijke verenigingen en andere organen die categorieën van verwerkingsverantwoordelijken of verwerkers vertegenwoordigen.
5.
De functionaris voor gegevensbescherming wordt aangewezen op grond van zijn professionele kwaliteiten en, in het bijzonder, zijn deskundigheid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming en zijn vermogen de in artikel 37 bedoelde taken te vervullen.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
133
NL
6.
(…)
7.
(…)
8.
De functionaris voor gegevensbescherming kan een personeelslid van de verwerkingsverantwoordelijke of de verwerker zijn, of kan de taken op grond van een dienstverleningscontract verrichten.
9.
De verwerkingsverantwoordelijke of de verwerker maakt de contactgegevens van de functionaris voor gegevensbescherming bekend en deelt deze aan de toezichthoudende autoriteit mee.
10.
(…)
11.
(…). Artikel 36 Positie van de functionaris voor gegevensbescherming
1.
De verwerkingsverantwoordelijke of de verwerker zorgen ervoor dat de functionaris voor gegevensbescherming naar behoren en tijdig wordt betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens.
2.
De verwerkingsverantwoordelijke of de verwerker ondersteunt de functionaris voor gegevensbescherming bij de vervulling van de in artikel 37 bedoelde taken door hem toegang te verschaffen tot persoonsgegevens en verwerkingsactiviteiten en door hem de benodigde middelen ter beschikking te stellen voor het vervullen van de genoemde taken en het in stand houden van zijn deskundigheid.
2a. (nieuw) Betrokkenen kunnen met de functionaris voor gegevensbescherming contact opnemen over alle aangelegenheden die verband houden met de verwerking van hun gegevens en met de uitoefening van hun rechten uit hoofde van deze verordening.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
134
NL
3.
De verwerkingsverantwoordelijke of de verwerker zorgt ervoor dat de functionaris voor gegevensbescherming geen instructies ontvangt met betrekking tot de uitvoering van deze taken. Hij wordt door de verwerkingsverantwoordelijke of de verwerker niet ontslagen of gestraft voor de uitvoering van zijn taken. De functionaris voor gegevensbescherming brengt rechtstreeks verslag uit aan de hoogste leidinggevende van de verwerkingsverantwoordelijke of de verwerker.
4.
De functionaris voor gegevensbescherming is met betrekking tot de uitvoering van zijn taken overeenkomstig Uniewetgeving of nationale wetgeving tot geheimhouding of vertrouwelijkheid verplicht.
4a.
De functionaris voor gegevensbescherming kan andere taken en plichten vervullen. De verwerkingsverantwoordelijke of de verwerker zorgt ervoor dat deze taken of plichten niet tot een belangenconflict leiden. Artikel 37 Taken van de functionaris voor gegevensbescherming
1.
De functionaris voor gegevensbescherming vervult ten minste de volgende taken: a)
de verwerkingsverantwoordelijke of de verwerker en de werknemers die persoonsgegevens verwerken, informeren en adviseren over hun verplichtingen op grond van deze verordening en andere uniale of nationale gegevensbeschermingsbepalingen;
b)
toezien op de naleving van deze verordening, van andere Unierechtelijke of nationaalrechtelijke gegevensbeschermingsbepalingen en van het beleid van de verwerkingsverantwoordelijke of de verwerker met betrekking tot de bescherming van persoonsgegevens, met inbegrip van de toewijzing van verantwoordelijkheden, bewustmaking en opleiding van het bij de verwerking betrokken personeel en de betreffende audits;
c)
(…)
d)
(…)
e)
(…)
f)
desgevraagd advies verstrekken met betrekking tot de gegevensbeschermingseffectbeoordeling en toezien op de uitvoering ervan in overeenstemming met artikel 33;
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
135
NL
g)
met de toezichthoudende autoriteit samenwerken;
h)
optreden als contactpunt voor de toezichthoudende autoriteit inzake aangelegenheden in verband met de verwerking van persoonsgegevens, met inbegrip van de in artikel 34 bedoelde voorafgaande raadpleging, en, voor zover dienstig, overleg plegen over enige andere aangelegenheid.
2.
(…)
2a.
De functionaris voor gegevensbescherming houdt bij de uitvoering van zijn taken naar behoren rekening met het aan de verwerkingen verbonden risico, en met de aard, de omvang, de context en de doelen van de verwerking.
AFDELING 5 GEDRAGSCODES EN CERTIFICERING Artikel 38 Gedragscodes 1.
De lidstaten, de toezichthoudende autoriteiten, het Europees Comité voor gegevensbescherming en de Commissie bevorderen de opstelling van gedragscodes die, met inaanmerkingneming van de specifieke kenmerken van de diverse gegevensverwerkingssectoren en de specifieke behoeften van kleine, middelgrote en micro-ondernemingen, moeten bijdragen tot de juiste toepassing van deze verordening.
1a.
Verenigingen en andere organen die categorieën van verwerkingsverantwoordelijken of verwerkers vertegenwoordigen, kunnen gedragscodes opstellen, of die codes wijzigen of uitbreiden, teneinde de toepassing van bepalingen van deze verordening nader toe te lichten, onder meer met betrekking tot: a)
behoorlijke en transparante gegevensverwerking;
aa)
de gerechtvaardigde belangen die door verwerkingsverantwoordelijken in een specifieke context worden behartigd;
b)
het verzamelen van gegevens;
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
136
NL
bb)
het pseudonimiseren van persoonsgegevens;
c)
het informeren van het publiek en betrokkenen;
d)
het uitoefenen van de rechten van betrokkenen;
e)
het informeren en beschermen van kinderen en de wijze waarop de toestemming van de persoon die de ouderlijke verantwoordelijkheid voor het kind draagt, wordt verkregen;
ee)
maatregelen en procedures als bedoeld in de artikelen 22 en 23 en maatregelen ter beveiliging van de verwerking als bedoeld in artikel 30;
ef)
kennisgeving van inbreuken in verband met persoonsgegevens aan toezichthoudende autoriteiten en mededeling van die inbreuken aan betrokkenen;
f)
de doorgifte van persoonsgegevens aan derde landen of internationale organisaties;
g)
(…)
h)
buitengerechtelijke procedures en andere procedures voor de beslechting van geschillen tussen verwerkingsverantwoordelijken en betrokkenen met betrekking tot de verwerking van persoonsgegevens, onverminderd de rechten van de betrokkenen op grond van de artikelen 73 en 75.
1ab. Behalve door de verwerkingsverantwoordelijke of de verwerker die onder deze verordening vallen, kunnen overeenkomstig lid 2 goedgekeurde gedragscodes die overeenkomstig lid 4 algemeen geldig zijn verklaard, eveneens worden nageleefd door verwerkingsverantwoordelijken of verwerkers die overeenkomstig artikel 3 niet onder deze verordening vallen, om te voorzien in passende waarborgen voor doorgifte van persoonsgegevens naar derde landen of internationale organisaties onder de voorwaarden als bedoeld in artikel 42, lid 2, punt d). Deze verwerkingsverantwoordelijken of verwerkers doen, via contractuele of andere juridisch bindende instrumenten, bindende en afdwingbare toezeggingen om die passende waarborgen toe te passen, ook wat betreft de rechten van de betrokkenen.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
137
NL
1b.
Een gedragscode op grond van lid 1a bevat mechanismen die het in artikel 38a, lid 1, bedoelde orgaan in staat stellen het verplichte toezicht uit te oefenen op de naleving van de bepalingen van de code door de verwerkingsverantwoordelijken of verwerkers die zich tot toepassing ervan verbinden, onverminderd de taken en bevoegdheden van de overeenkomstig artikel 51 of 51a bevoegde toezichthoudende autoriteit.
2.
De in lid 1a bedoelde verenigingen en andere organen die voornemens zijn een gedragscode op te stellen of bestaande gedragscodes te wijzigen of uit te breiden, leggen de ontwerpgedragscode voor aan de overeenkomstig artikel 51 bevoegde toezichthoudende autoriteit. De toezichthoudende autoriteit brengt advies uit over de vraag of de ontwerpgedragscode, of de gewijzigde of uitgebreide gedragscode, met deze verordening in overeenstemming is, en keurt deze ontwerpgedragscode, of gewijzigde of uitgebreide gedragscode goed, indien zij van oordeel is dat de code voldoende passende waarborgen biedt.
2a.
Wanneer in het in lid 2 bedoelde advies wordt bevestigd dat de gedragscode, of de gewijzigde of uitgebreide gedragscode, in overeenstemming is met deze verordening en de code wordt goedgekeurd, en indien de gedragscode geen betrekking heeft op verwerkingsactiviteiten in verschillende lidstaten, registreert de toezichthoudende autoriteit de gedragscode en maakt zij deze bekend.
2b.
Wanneer de ontwerpgedragscode betrekking heeft op verwerkingsactiviteiten in verschillende lidstaten, legt de overeenkomstig artikel 51 bevoegde toezichthoudende autoriteit deze, vóór goedkeuring, via de in artikel 57 bedoelde procedure voor aan het Europees Comité voor gegevensbescherming, dat advies geeft over de vraag of de ontwerpgedragscode, of de gewijzigde of uitgebreide gedragscode, met deze verordening in overeenstemming is, of, in de in lid 1ab bedoelde situatie, voorziet in passende waarborgen.
3.
Wanneer in het in lid 2b bedoelde advies wordt bevestigd dat de gedragscodes, of de gewijzigde of uitgebreide gedragscodes, met deze verordening in overeenstemming is of, in de in lid 1ab bedoelde situatie, passende waarborgen biedt, legt het Europees Comité voor gegevensbescherming zijn advies voor aan de Commissie.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
138
NL
4.
De Commissie kan uitvoeringshandelingen vaststellen waarbij de goedgekeurde gedragscodes en wijzigingen of uitbreidingen van bestaande goedgekeurde gedragscodes die haar op grond van lid 3 zijn voorgelegd, binnen de Unie algemeen geldig worden verklaard. Deze uitvoeringshandelingen worden vastgesteld volgens de in artikel 87, lid 2, bedoelde onderzoeksprocedure.
5.
De Commissie zorgt ervoor dat aan de goedgekeurde codes die zij overeenkomstig lid 4 algemeen geldig heeft verklaard, passende bekendheid wordt verleend.
5a.
Het Europees Comité voor gegevensbescherming verzamelt alle goedgekeurde gedragscodes en wijzigingen daarvan in een register en maakt deze via de daartoe geëigende kanalen openbaar. Artikel 38a Toezicht op goedgekeurde gedragscodes
1.
Onverminderd de taken en bevoegdheden van de bevoegde toezichthoudende autoriteit uit hoofde van de artikelen 52 en 53, kan het op grond van artikel 38 uitgevoerde toezicht op de naleving van een gedragscode worden uitgeoefend door een orgaan dat over de passende deskundigheid met betrekking tot het onderwerp van de gedragscode beschikt en daartoe door de bevoegde toezichthoudende autoriteit is geaccrediteerd.
2.
Een orgaan als bedoeld in lid 1 kan daartoe worden geaccrediteerd indien het: a)
ten genoegen van de bevoegde toezichthoudende autoriteit, zijn onafhankelijkheid en deskundigheid met betrekking tot het onderwerp van de gedragscode heeft aangetoond;
b)
procedures heeft vastgesteld op grond waarvan het kan beoordelen of de betrokken verwerkingsverantwoordelijken en verwerkers in aanmerking komen om de gedragscode toe te passen, het toezicht kan houden op de naleving van de bepalingen van de gedragscode door deze laatsten en het de werking van de gedragscode op gezette tijden kan toetsen;
c)
procedures en structuren heeft vastgesteld om klachten te behandelen over inbreuken op de gedragscode of over de wijze waarop daaraan uitvoering is, of wordt, gegeven door een verwerkingsverantwoordelijke of verwerker, en om die procedures en structuren voor betrokkenen en het publiek transparant te maken;
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
139
NL
d)
ten genoegen van de bevoegde toezichthoudende autoriteit, aantoont dat zijn taken en bevoegdheden niet tot een belangenconflict leiden.
3.
De bevoegde toezichthoudende autoriteit legt de ontwerpcriteria voor accreditatie van een in lid 1 bedoeld orgaan overeenkomstig de in artikel 57 bedoelde conformiteitstoetsing voor aan het Europees Comité voor gegevensbescherming.
4.
Onverminderd de taken en bevoegdheden van de bevoegde toezichthoudende autoriteit en de bepalingen van hoofdstuk VIII neemt een in lid 1 bedoeld orgaan, mits er passende waarborgen zijn, de nodige maatregelen ingeval een verwerkingsverantwoordelijke of verwerker een inbreuk pleegt op de gedragscode, waaronder schorsing of uitsluiting van de gedragscode. Het orgaan stelt de bevoegde toezichthoudende autoriteit in kennis van die maatregelen en van de redenen daarvoor.
5.
De bevoegde toezichthoudende autoriteit trekt de accreditatie van een in lid 1 bedoeld orgaan in, indien de voorwaarden voor accreditatie niet, of niet meer, worden vervuld of indien de door het orgaan genomen maatregelen niet in overeenstemming zijn met deze verordening.
6.
Dit artikel geldt niet voor de verwerking van persoonsgegevens door overheidsinstanties -en organen. Artikel 39 Certificering
1.
De lidstaten, de toezichthoudende autoriteiten, het Europees Comité voor gegevensbescherming en de Commissie bevorderen, met name op Unieniveau, de invoering van certificeringsmechanismen voor gegevensbescherming en gegevensbeschermingszegels en – merktekens waarmee kan worden aangetoond dat verwerkingsverantwoordelijken en verwerkers bij verwerkingen in overeenstemming met deze verordening handelen . Er wordt ook rekening gehouden met de specifieke behoeften van kleine, middelgrote en microondernemingen.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
140
NL
1a.
Ter aanvulling op de naleving door verwerkingsverantwoordelijken of verwerkers die onder deze verordening vallen, kunnen tevens uit hoofde van lid 2a goedgekeurde certificeringsmechanismen voor gegevensbescherming, gegevensbeschermingszegels of -merktekens worden ingevoerd waarmee kan worden aangetoond dat de verwerkingsverantwoordelijken of verwerkers die overeenkomstig artikel 3 niet onder deze verordening vallen, in het kader van de doorgifte van persoonsgegevens aan derde landen of internationale organisaties onder de voorwaarden als bedoeld in artikel 42, lid 2, punt e), passende waarborgen bieden. Die verwerkingsverantwoordelijken of verwerkers doen, via contractuele of andere juridisch bindende instrumenten, bindende en afdwingbare toezeggingen om die passende waarborgen toe te passen, ook wat betreft de rechten van de betrokkenen.
1b.
De certificering is vrijwillig en toegankelijk via een transparant proces.
2.
Een certificering op grond van dit artikel doet niets af aan de verantwoordelijkheid van de verwerkingsverantwoordelijke of de verwerker om deze verordening na te leven, en laat de taken en bevoegdheden van de overeenkomstig artikel 51 of 51a bevoegde toezichthoudende autoriteit onverlet.
2a.
Een certificaat uit hoofde van dit artikel wordt afgegeven door de in artikel 39a bedoelde certificerende organen of door de bevoegde toezichthoudende autoriteit op grond van de criteria die door de bevoegde toezichthoudende autoriteit of, overeenkomstig artikel 57, het Europees Comité voor gegevensbescherming, zijn goedgekeurd. In dat laatste geval kunnen de door het Europees Comité voor gegevensbescherming goedgekeurde criteria leiden tot een gemeenschappelijke certificaat, het Europees gegevensbeschermingszegel.
3 (nieuw). De verwerkingsverantwoordelijke of de verwerker die zijn verwerking aan het certificeringsmechanisme onderwerpt, verstrekt aan het in artikel 39a bedoelde certificeringsorgaan, of, waar van toepassing, aan de bevoegde toezichthoudende autoriteit de voor de uitvoering van de certificeringsprocedure noodzakelijke informatie en verleent het orgaan of de autoriteit toegang tot zijn verwerkingsactiviteiten.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
141
NL
4.
Het certificaat wordt afgegeven aan een verwerkingsverantwoordelijke of een verwerker voor een maximumperiode van 3 jaar en kan worden verlengd onder dezelfde voorwaarden, mits bij voortduring aan de relevante eisen kan worden voldaan. Indien van toepassing wordt het ingetrokken door de in artikel 39a bedoelde certificerende organen of door de bevoegde toezichthoudende autoriteit, wanneer aan de eisen voor de certificering niet of niet meer wordt voldaan.
5.
Het Europees Comité voor gegevensbescherming verzamelt alle certificeringsmechanismen en gegevensbeschermingszegels en -merktekens in een register en maakt deze via de daartoe geëigende kanalen openbaar. Artikel 39a Certificeringsorgaan en -procedure
1.
Onverminderd de taken en bevoegdheden van de bevoegde toezichthoudende autoriteit uit hoofde van de artikelen 52 en 53, wordt het certificaat, in voorkomend geval na kennisgeving aan de toezichthoudende autoriteit met het oog op de uitoefening van haar bevoegdheden overeenkomstig artikel 53, lid 1b, punt fa), afgegeven en verlengd door een certificeringsorgaan dat over de passende deskundigheid met betrekking tot gegevens-bescherming beschikt. Elke lidstaat bepaalt of deze certificeringsorganen worden geaccrediteerd door: a)
de toezichthoudende autoriteit die bevoegd is overeenkomstig artikel 51 of 51a; en/of
b)
de nationale accreditatie-instantie die is aangewezen in overeenstemming met Verordening (EG) nr. 765/2008 van het Europees Parlement en de Raad van 9 juli 2008 tot vaststelling van de eisen inzake accreditatie en markttoezicht betreffende het verhandelen van producten, in overeenstemming met EN-ISO/IEC 17065/2012 en met de aanvullende eisen die door de overeenkomstig artikel 51 of 51a bevoegde toezichthoudende autoriteit zijn vastgesteld.
2.
Het in lid 1 bedoelde certificeringsorgaan kan daartoe uitsluitend worden geaccrediteerd indien het:
a)
ten genoegen van de bevoegde toezichthoudende autoriteit, zijn onafhankelijkheid en deskundigheid met betrekking tot het onderwerp van de certificering heeft aangetoond;
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
142
NL
aa)
er zich toe verbonden heeft aan de in artikel 39, lid 2a, bedoelde criteria te voldoen, welke zijn goedgekeurd door de toezichthoudende autoriteit die op grond van artikel 51 of 51a bevoegd is of, overeenkomstig artikel 57, het Europees Comité voor gegevensbescherming;
b)
procedures heeft vastgesteld voor de uitgifte, periodieke toetsing en intrekking van certificeringsmechanismen voor gegevensbescherming, gegevensbeschermingszegels en -merktekens;
c)
procedures en structuren heeft vastgesteld om klachten te behandelen over inbreuken op de certificering of de wijze waarop daaraan uitvoering is, of wordt, gegeven door de verwerkingsverantwoordelijke of de verwerker, en om die procedures en structuren voor betrokkenen en het publiek transparant te maken;
d)
ten genoegen van de bevoegde toezichthoudende autoriteit, aantoont dat zijn taken en plichten niet tot een belangenconflict leiden.
3.
De accreditatie van de in lid 1 bedoelde certificeringsorganen vindt plaats aan de hand van criteria die zijn goedgekeurd door de toezichthoudende autoriteit die op grond van artikel 51 of 51a bevoegd is of, overeenkomstig artikel 57, het Europees Comité voor gegevensbescherming. In het geval van een accreditatie in de zin van lid 1, punt b), zijn deze eisen een aanvulling op de eisen van Verordening 765/2008 en de technische regels die een beschrijving van de methoden en procedures van de certificeringsorganen geven.
4.
Het in lid 1 bedoelde certificeringsorgaan is verantwoordelijk voor een juiste beoordeling, die tot certificering of de intrekking van de certificering leidt, onverminderd de verantwoordelijkheid van de verwerkingsverantwoordelijke of de verwerker voor de naleving van deze verordening. De accreditatie wordt afgegeven voor een periode van maximaal vijf jaar en kan onder dezelfde voorwaarden worden verlengd mits het orgaan aan de eisen blijft voldoen.
5.
Het in lid 1 bedoelde certificeringsorgaan stelt de bevoegde toezichthoudende autoriteit op de hoogte van de redenen voor het afgeven of het intrekken van het aangevraagde certificaat.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
143
NL
6.
De in lid 3 bedoelde voorschriften en de in artikel 39, lid 2a, bedoelde criteria worden door de toezichthoudende autoriteit in een eenvoudig toegankelijke vorm openbaar gemaakt. De toezichthoudende autoriteiten delen deze tevens mee aan het Europees Comité voor gegevensbescherming. Het Europees Comité voor gegevensbescherming verzamelt alle certificeringsmechanismen en gegevensbeschermingszegels in een register en maakt deze openbaar via de daartoe geëigende kanalen.
6a.
Indien de voorwaarden voor accreditatie niet, of niet meer, worden vervuld of indien de door het orgaan genomen maatregelen niet met deze verordening in overeenstemming zijn, trekt de bevoegde toezichthoudende autoriteit of de nationale accreditatie-instantie, onverminderd de bepalingen van hoofdstuk VIII, de aan een in lid 1 bedoeld certificeringsorgaan afgegeven accreditatie in.
7.
De Commissie is bevoegd overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het oog op de nadere invulling van de in aanmerking te nemen eisen voor de in artikel 39, lid 1 bedoelde certificeringsmechanismen voor gegevensbescherming.
7a.
(…)
8.
De Commissie kan technische normen vaststellen voor certificeringsmechanismen en gegevensbeschermingszegels en –merktekens en mechanismen ter bevordering en erkenning van certificeringsmechanismen en gegevensbeschermingszegels en –merktekens. De uitvoeringshandelingen in kwestie worden vastgesteld volgens de in artikel 87, lid 2, bedoelde onderzoeksprocedure.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
144
NL
HOOFDSTUK V DOORGIFTE VAN PERSOONSGEGEVENS AAN DERDE LANDEN OF INTERNATIONALE ORGANISATIES Artikel 40 Algemeen beginsel inzake doorgiften Persoonsgegevens die worden verwerkt of die bestemd zijn om na doorgifte aan een derde land of een internationale organisatie te worden verwerkt, mogen slechts worden doorgegeven indien, onverminderd de overige bepalingen van deze verordening, de verwerkingsverantwoordelijke en de verwerker aan de in dit hoofdstuk neergelegde voorwaarden hebben voldaan; dit geldt ook voor verdere doorgiften van persoonsgegevens vanuit een derde land of een internationale organisatie aan een ander derde land of een andere internationale organisatie. Alle bepalingen van dit hoofdstuk worden toegepast opdat het door deze verordening gewaarborgde beschermingsniveau voor natuurlijke personen niet wordt ondermijnd. Artikel 41 Doorgiften op basis van adequaatheidsbesluiten 1.
Een doorgifte van persoonsgegevens aan een derde land of een internationale organisatie kan plaatsvinden wanneer de Commissie heeft besloten dat het derde land, of een gebied of één of meerdere nader bepaalde sectoren in dat derde land, of de internationale organisatie in kwestie een adequaat beschermingsniveau waarborgt. Voor een dergelijke doorgifte is geen specifieke toestemming nodig.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
145
NL
2.
Bij het beoordelen van de vraag of het beschermingsniveau adequaat is, houdt de Commissie met name rekening met de volgende aspecten: a)
de rechtsstatelijkheid, de eerbiediging van de mensenrechten en de fundamentele vrijheden, de desbetreffende algemene en sectorale wetgeving, onder meer inzake openbare veiligheid, defensie, nationale veiligheid en strafrecht en toegang van overheidsinstanties tot persoonsgegevens, evenals de tenuitvoerlegging van deze wetgeving, gegevensbeschermingsregels, beroepsregels en de veiligheidsmaatregelen, met inbegrip van regels voor verdere doorgifte van persoonsgegevens aan een ander derde land of een andere internationale organisatie die in dat land of die internationale organisatie worden nageleefd, precedenten in de rechtspraak, alsmede het bestaan van effectieve en afdwingbare rechten van betrokkenen en effectieve mogelijkheden om administratief beroep of beroep in rechte in te stellen voor betrokkenen wier persoonsgegevens worden doorgegeven;
b)
het bestaan en het effectief functioneren van een of meer onafhankelijke toezichthoudende autoriteiten in het derde land of waaraan een internationale organisatie is onderworpen, welke tot taak heeft of hebben de naleving van de gegevensbeschermingsregels te verzekeren en deze, onder meer met passende sanctiebevoegdheden, te handhaven, betrokkenen bij de uitoefening van hun rechten bij te staan en te adviseren en met de toezichthoudende autoriteiten van de lidstaten samen te werken; en
c)
de internationale toezeggingen die het derde land of de internationale organisatie in kwestie heeft gedaan, of andere verplichtingen die voortvloeien uit juridisch bindende overeenkomsten of instrumenten, alsmede uit de deelname van dat derde land of die internationale organisatie aan multilaterale of regionale regelingen, in het bijzonder met betrekking tot de bescherming van persoonsgegevens.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
146
NL
3.
De Commissie kan, na de beoordeling van de vraag of het beschermingsniveau adequaat is, bij besluit vaststellen dat een derde land, of een gebied of één of meerdere nader bepaalde sectoren in dat derde land, of een internationale organisatie een adequaat beschermingsniveau in de zin van lid 2 waarborgt. De uitvoeringshandeling voorziet in een mechanisme voor periodieke toetsing, minstens om de vier jaar, waarbij alle relevante ontwikkelingen in het derde land of de internationale organisatie in aanmerking worden genomen. In de uitvoeringshandeling worden het territoriale en het sectorale toepassingsgebied vermeld, alsmede, in voorkomend geval, de in lid 2, punt b), genoemde toezichthoudende autoriteit(en). De uitvoeringshandeling wordt vastgesteld volgens de in artikel 87, lid 2, bedoelde onderzoeksprocedure.
3a.
(…)
4.
(…)
4a.
De Commissie houdt doorlopend toezicht op ontwikkelingen in derde landen en internationale organisaties die mogelijk gevolgen hebben voor het functioneren van krachtens lid 3 vastgestelde besluiten en van op grond van artikel 25, lid 6, van Richtlijn 95/46/EG vastgestelde besluiten.
5.
De Commissie stelt bij besluit vast, wanneer zulks uit beschikbare informatie blijkt, in het bijzonder naar aanleiding van de in lid 3 bedoelde toetsing, dat een derde land, of een gebied of een nader bepaalde sector in dat derde land, of een internationale organisatie niet langer een adequaat beschermingsniveau in de zin van lid 2 waarborgt, en zij gaat, voor zover nodig, over tot de intrekking, wijziging of schorsing van het in lid 3 bedoelde besluit zonder terugwerkende kracht. De uitvoeringshandeling wordt vastgesteld volgens de in artikel 87, lid 2, bedoelde onderzoeksprocedure of, in bijzonder spoedeisende omstandigheden, volgens de in artikel 87, lid 3, bedoelde procedure.
5a.
De Commissie pleegt overleg met het derde land of de internationale organisatie om de situatie naar aanleiding waarvan het besluit overeenkomstig lid 5 is vastgesteld, te verhelpen.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
147
NL
6.
Een overeenkomstig lid 5 vastgesteld besluit laat de doorgiften van persoonsgegevens aan het derde land, of het gebied of de nader bepaalde sector in dat derde land, of de betrokken internationale organisatie in kwestie overeenkomstig de artikelen 42 tot en met 44 onverlet.
7.
De Commissie maakt in het Publicatieblad van de Europese Unie en op haar website een lijst bekend van de derde landen, gebieden en nader bepaalde sectoren in derde landen en internationale organisaties waarvoor zij bij besluit heeft vastgesteld dat deze wel of niet langer een adequaat beschermingsniveau waarborgen.
8.
De besluiten die de Commissie op grond van artikel 25, lid 6, van Richtlijn 95/46/EG heeft vastgesteld, blijven van kracht, totdat zij worden gewijzigd, vervangen of ingetrokken bij een overeenkomstig lid 3 of lid 5 vastgesteld besluit van de Commissie. Artikel 42 Doorgiften op basis van passende waarborgen
1.
Bij ontstentenis van een besluit uit hoofde van artikel 41, lid 3, mag een doorgifte van persoonsgegevens aan een derde land of een internationale organisatie door een verwerkingsverantwoordelijke of een verwerker alleen plaatsvinden mits zij passende waarborgen bieden en betrokkenen over afdwingbare rechten en doeltreffende rechtsmiddelen beschikken.
2.
De in lid 1 bedoelde passende waarborgen kunnen worden geboden door de volgende instrumenten, zonder dat daarvoor specifieke toestemming van een toezichthoudende autoriteit is vereist: oa)
een juridisch bindend en afdwingbaar instrument tussen overheidsinstanties of -organen;
a)
bindende bedrijfsvoorschriften overeenkomstig artikel 43;
b)
modelbepalingen inzake gegevensbescherming die door de Commissie volgens de in artikel 87, lid 2, bedoelde onderzoeksprocedure zijn vastgesteld;
c)
modelbepalingen inzake gegevensbescherming die door een toezichthoudende autoriteit zijn vastgesteld en die door de Commissie volgens de in artikel 87, lid 2, bedoelde onderzoeksprocedure zijn goedgekeurd;
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
148
NL
d)
een overeenkomstig artikel 38 goedgekeurde gedragscode, samen met bindende en afdwingbare toezeggingen van de verwerkingsverantwoordelijke of de verwerker in het derde land om de passende waarborgen, onder meer voor de rechten van de betrokkenen, toe te passen; of
e)
een overeenkomstig artikel 39 goedgekeurd certificeringsmechanisme, samen met bindende en afdwingbare toezeggingen van de verwerkingsverantwoordelijke of de verwerker in het derde land om de passende waarborgen, onder meer voor de rechten van de betrokkenen, toe te passen.
2a.
Onder voorbehoud van de toestemming van de bevoegde toezichthoudende autoriteit kunnen de in lid 1 bedoelde passende waarborgen ook worden geboden door, met name: a)
contractbepalingen tussen de verwerkingsverantwoordelijke of de verwerker en de verwerkingsverantwoordelijke, de verwerker of de ontvanger van de gegevens in het derde land of de internationale organisatie; of
b)
bepalingen die moeten worden opgenomen in administratieve regelingen tussen overheidsinstanties of -organen, waaronder afdwingbare en effectieve rechten van betrokkenen.
3.
(…)
4.
(…)
5.
(…)
5a.
De toezichthoudende autoriteit past de in artikel 57 bedoelde conformiteitstoetsing toe in de in lid 2a vermelde gevallen.
5b.
Toestemmingen die een lidstaat of een toezichthoudende autoriteit op grond van artikel 26, lid 2, van Richtlijn 95/46/EG heeft verleend, blijven geldig totdat zij door die toezichthoudende autoriteit, indien nodig, worden gewijzigd, vervangen of ingetrokken. De besluiten die de Commissie op grond van artikel 26, lid 4, van Richtlijn 95/46/EG heeft vastgesteld, blijven van kracht totdat zij bij een overeenkomstig lid 2 vastgesteld besluit van de Commissie, indien nodig, worden gewijzigd, vervangen of ingetrokken.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
149
NL
Artikel 43 Doorgiften op basis van bindende bedrijfsvoorschriften 1.
De bevoegde toezichthoudende autoriteit keurt in overeenstemming met de in artikel 57 bedoelde conformiteitstoetsing bindende bedrijfsvoorschriften goed, op voorwaarde dat deze: a)
juridisch bindend zijn voor, van toepassing zijn op en worden gehandhaafd door alle betrokken leden van de groep van ondernemingen, of groepen van ondernemingen die gezamenlijk een economische activiteit uitoefenen, met inbegrip van hun werknemers;
b)
betrokkenen uitdrukkelijk afdwingbare rechten toekennen met betrekking tot de verwerking van hun persoonsgegevens;
c) 2.
voldoen aan de in lid 2 vastgestelde vereisten.
In de in lid 1 bedoelde bindende bedrijfsvoorschriften worden minstens de volgende elementen vastgelegd: a)
de structuur en de contactgegevens van de groep in kwestie en van elk van haar leden;
b)
de gegevensdoorgiften of reeks van doorgiften, met inbegrip van de categorieën van persoonsgegevens, het soort verwerking en de doelen daarvan, het soort betrokkenen en de identificatie van het derde land of de derde landen in kwestie;
c)
het intern en extern juridisch bindende karakter;
d)
de toepassing van de algemene beginselen inzake gegevensbescherming, met name doelbinding, minimale gegevensverwerking, beperkte opslagtermijnen, kwaliteit van gegevens, gegevensbescherming door standaardinstellingen en door ontwerp, rechtsgrondslag voor verwerking, verwerking van speciale categorieën van persoonsgegevens, maatregelen om gegevensbeveiliging te waarborgen, en de vereisten inzake verdere doorgiften aan organen die niet door bindende bedrijfsvoorschriften zijn gebonden;
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
150
NL
e)
de rechten van betrokkenen in verband met de verwerking van hun persoonsgegevens en de middelen om deze rechten uit te oefenen, waaronder het recht om niet te worden onderworpen aan louter op geautomatiseerde verwerking gebaseerde besluiten, met inbegrip van profilering overeenkomstig artikel 20, het recht om een klacht in te dienen bij de bevoegde toezichthoudende autoriteit, om een vordering in te stellen bij de bevoegde rechterlijke instanties van de lidstaten overeenkomstig artikel 75, en om schadeloosstelling en, in voorkomend geval, een vergoeding te verkrijgen voor een inbreuk op de bindende bedrijfsvoorschriften;
f)
de aanvaarding door de op het grondgebied van een lidstaat gevestigde verwerkingsverantwoordelijke of verwerker van aansprakelijkheid voor alle inbreuken op de bindende bedrijfsvoorschriften door een niet in de Unie gevestigd betrokken lid; de verwerkingsverantwoordelijke of de verwerker kan alleen geheel of gedeeltelijk van deze aansprakelijkheid worden ontheven, indien hij bewijst dat dat lid niet verantwoordelijk is voor het schadebrengende feit;
g)
de wijze waarop, in aanvulling op de in de artikelen 14 en 14a bedoelde informatie, aan betrokkenen informatie wordt verschaft over de bindende bedrijfsvoorschriften, met name over de bepalingen in de punten d), e) en f);
h)
de taken van elke overeenkomstig artikel 35 aangewezen functionaris voor gegevensbescherming, of elke andere persoon of entiteit die is belast met het toezicht op de naleving van de bindende bedrijfsvoorschriften binnen de groep, op de opleiding en op de behandeling van klachten;
hh)
de klachtenprocedures;
i)
de binnen de groep bestaande procedures om te controleren of de bindende bedrijfsvoorschriften zijn nageleefd. Dergelijke procedures omvatten gegevensbeschermingsaudits en -methoden om te zorgen voor corrigerende maatregelen ter bescherming van de rechten van de betrokkene. De resultaten van dergelijke controles dienen te worden meegedeeld aan de in punt h) bedoelde persoon of entiteit en aan de raad van bestuur van de onderneming die zeggenschap uitoefent, of van de groep van ondernemingen, en dienen op verzoek ter beschikking van de bevoegde toezichthoudende autoriteit te worden gesteld;
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
151
NL
j)
de procedures om veranderingen in de regels te melden, te registreren en aan de toezichthoudende autoriteit te melden;
k)
de procedure voor samenwerking met de toezichthoudende autoriteit om ervoor te zorgen dat alle leden van de groep de bindende bedrijfsvoorschriften naleven, in het bijzonder door de resultaten van de in punt i) bedoelde controles ter beschikking van de toezichthoudende autoriteit te stellen;
l)
de procedures om eventuele wettelijke voorschriften waaraan een lid van de groep in een derde land is onderworpen en die waarschijnlijk een aanzienlijk negatief effect zullen hebben op de door de bindende bedrijfsvoorschriften geboden waarborgen, aan de bevoegde toezichthoudende autoriteit te melden; en
m)
de passende opleiding inzake gegevensbescherming voor personeel dat permanent of op regelmatige basis toegang tot persoonsgegevens heeft.
2a.
(…)
3.
(…)
4.
De Commissie kan het model en de procedures voor de uitwisseling van informatie over bindende bedrijfsvoorschriften in de zin van dit artikel tussen verwerkingsverantwoordelijken, verwerkers en toezichthoudende autoriteiten nader bepalen. Deze uitvoeringshandelingen worden vastgesteld volgens de in artikel 87, lid 2, bedoelde onderzoeksprocedure.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
152
NL
Artikel 43a (nieuw) Niet bij Uniewetgeving toegestane doorgiften of verstrekkingen 1.
Elke rechterlijke uitspraak en elk besluit van een administratieve autoriteit van een derde land op grond waarvan een verwerkingsverantwoordelijke of een verwerker persoonsgegevens moet doorgeven of verstrekken, mag alleen op enigerlei wijze worden erkend of afdwingbaar zijn indien zij gebaseerd zijn op een internationale overeenkomst, zoals een verdrag inzake wederzijdse rechtsbijstand, tussen het verzoekende derde landen en de Unie of een lidstaat, onverminderd andere gronden voor doorgifte uit hoofde van dit hoofdstuk. Artikel 44 Afwijkingen voor specifieke situaties
1.
Bij ontstentenis van een adequaatheidsbesluit overeenkomstig artikel 41, lid 3, of van passende waarborgen overeenkomstig artikel 42, met inbegrip van bindende bedrijfsvoorschriften, kan een doorgifte of een reeks van doorgiften van persoonsgegevens aan een derde land of een internationale organisatie slechts plaatsvinden op voorwaarde dat: a)
de betrokkene uitdrukkelijk met de voorgestelde doorgifte heeft ingestemd, na te zijn ingelicht over de risico's die dergelijke doorgiften voor hem kunnen inhouden bij ontstentenis van een adequaatheidsbesluit en van en passende waarborgen; of
b)
de doorgifte noodzakelijk is voor de uitvoering van een overeenkomst tussen de betrokkene en de verwerkingsverantwoordelijke of voor de uitvoering van op verzoek van de betrokkene genomen precontractuele maatregelen; of
c)
de doorgifte noodzakelijk is voor de sluiting of de uitvoering van een in het belang van de betrokkene tussen de verwerkingsverantwoordelijke en een andere natuurlijke persoon of rechtspersoon gesloten overeenkomst; of
d)
de doorgifte noodzakelijk is wegens gewichtige redenen van algemeen belang; of
e)
de doorgifte noodzakelijk is voor de instelling, uitoefening of verdediging van een rechtsvordering; of
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
153
NL
f)
de doorgifte noodzakelijk is voor de bescherming van de vitale belangen van de betrokkene of van andere personen, indien de betrokkene lichamelijk of juridisch niet in staat is zijn toestemming te geven; of
g)
de doorgifte is verricht vanuit een register dat krachtens Uniewetgeving of nationale wetgeving bedoeld is om het publiek voor te lichten en dat door eenieder dan wel door iedere persoon die zich op een gerechtvaardigd belang kan beroepen, kan worden geraadpleegd, maar alleen voor zover in het betrokken geval wordt voldaan aan de in Uniewetgeving of nationale wetgeving vastgestelde voorwaarden voor raadpleging; of
h)
Wanneer een doorgifte niet op een bepaling van de artikelen 41 of 42 , met inbegrip van bindende bedrijfsvoorschriften, kon worden gegrond en geen van de afwijkingen voor een specifieke situatie overeenkomstig de punten a) tot en met g) van toepassing zijn, is een doorgifte aan een derde land of een internationale organisatie alleen toegestaan indien zij niet repetitief is, een beperkt aantal betrokkenen betreft, noodzakelijk is voor dwingende gerechtvaardigde belangen van de verwerkingsverantwoordelijke die niet ondergeschikt zijn aan de belangen of rechten en vrijheden van de betrokkene, indien de verwerkingsverantwoordelijke alle omstandigheden in verband met de gegevensdoorgifte heeft beoordeeld en op basis van die beoordeling passende waarborgen voor de bescherming van persoonsgegevens heeft geboden. De verwerkingsverantwoordelijke informeert de toezichthoudende autoriteit over de doorgifte. De verwerkingsverantwoordelijke informeert de betrokkene, behalve over de in de artikelen 14 en 14a bedoelde informatie, ook over de doorgifte en de dwingende gerechtvaardigde belangen van de verwerkingsverantwoordelijke.
2.
Een doorgifte overeenkomstig lid 1, punt g), mag geen betrekking hebben op alle persoonsgegevens of volledige categorieën van persoonsgegevens die in het register zijn opgeslagen. Wanneer een register bedoeld is om door personen met een gerechtvaardigd belang te worden geraadpleegd, kan de doorgifte slechts plaatsvinden op verzoek van die personen of wanneer de gegevens voor hen zijn bestemd.
3.
(…)
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
154
NL
4.
Lid 1, punten a), b), c) en h), zijn niet van toepassing op activiteiten die door overheidsinstanties worden verricht bij de uitoefening van hun openbare bevoegdheden.
5.
Het in lid 1, punt d), bedoelde openbaar belang moet erkend zijn in Uniewetgeving of nationale wetgeving die op de verwerkingsverantwoordelijke van toepassing is.
5a.
Bij ontstentenis van een adequaatheidsbesluit kunnen in Uniewetgeving of nationale wetgeving om gewichtige redenen van openbaar belang uitdrukkelijk grenzen worden gesteld aan de doorgifte van specifieke categorieën van persoonsgegevens aan een derde land of een internationale organisatie. De lidstaten stellen de Commissie in kennis van dergelijke bepalingen.
6.
De verwerkingsverantwoordelijke of de verwerker staaft de beoordeling en de in lid 1, punt h), bedoelde passende waarborgen in het artikel 28 bedoelde register.
7.
(…). Artikel 45 Internationale samenwerking voor de bescherming van persoonsgegevens
1.
Ten aanzien van derde landen en internationale organisaties nemen de Commissie en de toezichthoudende autoriteiten de nodige maatregelen om: a)
procedures voor internationale samenwerking te ontwikkelen, zodat de effectieve handhaving van de wetgeving inzake de bescherming van persoonsgegevens wordt vergemakkelijkt;
b)
internationale wederzijdse bijstand te bieden bij de handhaving van de wetgeving inzake de bescherming van persoonsgegevens, onder andere door kennisgeving, doorverwijzing van klachten, bijstand bij onderzoeken en uitwisseling van informatie, voor zover er passende waarborgen voor de bescherming van persoonsgegevens en andere grondrechten en fundamentele vrijheden bestaan;
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
155
NL
c)
belanghebbenden te betrekken bij besprekingen en activiteiten om de internationale samenwerking bij de handhaving van de wetgeving inzake de bescherming van persoonsgegevens te bevorderen; en
d)
de uitwisseling en het documenteren van wetgeving en praktijken inzake de bescherming van persoonsgegevens te bevorderen, onder meer betreffende jurisdictiegeschillen met derde landen.
2.
(…)
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
156
NL
HOOFDSTUK VI ONAFHANKELIJKE TOEZICHTHOUDENDE AUTORITEITEN AFDELING 1 ONAFHANKELIJKHEID Artikel 46 Toezichthoudende autoriteit 1.
Elke lidstaat bepaalt dat één of meer onafhankelijke overheidsinstanties verantwoordelijk zijn voor het toezicht op de toepassing van deze verordening, teneinde de grondrechten en fundamentele vrijheden van natuurlijke personen in verband met de verwerking van hun persoonsgegevens te beschermen en het vrije verkeer van persoonsgegevens binnen de Unie te vergemakkelijken.
1a.
Elke toezichthoudende autoriteit draagt bij tot de consequente toepassing van deze verordening in de hele Unie. Daartoe werken de toezichthoudende autoriteiten onderling en met de Commissie samen overeenkomstig hoofdstuk VII.
2.
Wanneer er in een lidstaat meer dan één toezichthoudende autoriteit is gevestigd, wijst die lidstaat de toezichthoudende autoriteit aan die die autoriteiten in het Europees Comité voor gegevensbescherming zal vertegenwoordigen en stelt hij de procedure vast om ervoor te zorgen dat de andere autoriteiten de regels in verband met de in artikel 57 bedoelde conformiteitstoetsing naleven.
3.
Elke lidstaat stel de Commissie uiterlijk op de in artikel 91, lid 2, vastgelegde datum in kennis van de wettelijke bepalingen die hij overeenkomstig dit hoofdstuk vaststelt, alsmede, onverwijld, van alle latere wijzigingen daarvan.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
157
NL
Artikel 47 Onafhankelijkheid 1.
Elke toezichthoudende autoriteit treedt volledig onafhankelijk op bij de uitvoering van de taken en de uitoefening van de bevoegdheden die haar overeenkomstig deze verordening zijn toegewezen.
2.
Bij de uitvoering van hun taken en de uitoefening van hun bevoegdheden overeenkomstig deze verordening blijven de leden van elke toezichthoudende autoriteit vrij van - al dan niet rechtstreekse - externe invloed en vragen noch aanvaarden zij instructies van wie dan ook.
3.
De leden van de toezichthoudende autoriteit onthouden zich van alle handelingen die onverenigbaar zijn met hun taken en verrichten gedurende hun ambtstermijn geen al dan niet bezoldigde beroepswerkzaamheden die onverenigbaar zijn met hun taken.
4.
(…)
5.
Elke lidstaat zorgt ervoor dat elke toezichthoudende autoriteit beschikt over de personele, technische en financiële middelen, en de dienstruimten en infrastructuur die nodig zijn voor het effectief uitvoeren van haar taken en uitoefenen van haar bevoegdheden, waaronder die in het kader van wederzijdse bijstand, samenwerking en deelname aan het Europees Comité voor gegevensbescherming.
6.
Elke lidstaat zorgt ervoor dat elke toezichthoudende autoriteit eigen en zelfgekozen personeelsleden heeft, die onder de exclusieve leiding van het lid of de leden van de toezichthoudende autoriteit staan.
7.
De lidstaten zorgen ervoor dat op elke toezichthoudende autoriteit financieel toezicht wordt uitgeoefend zonder dat daarbij de onafhankelijkheid van de toezichthoudende autoriteit in het gedrang komt. De lidstaten zorgen ervoor dat elke toezichthoudende autoriteit een afzonderlijke, publieke, jaarlijkse begroting heeft, die een onderdeel kan zijn van de algehele staats- of nationale begroting.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
158
NL
Artikel 48 Algemene voorwaarden voor de leden van de toezichthoudende autoriteit 1.
De lidstaten schrijven voor dat elk lid van een toezichthoudende autoriteit volgens een transparante procedure moet worden benoemd door ofwel:
2.
-
het parlement;
-
de regering;
-
het staatshoofd van de lidstaat in kwestie; of
-
een onafhankelijk orgaan dat krachtens nationale wetgeving met de benoeming is belast.
De leden beschikken over de nodige kwalificaties, ervaring en vaardigheden, met name op het gebied van de bescherming van persoonsgegevens, voor het uitvoeren van hun taken en het uitoefenen van hun bevoegdheden.
3.
De taken van een lid eindigen bij het verstrijken van de ambtstermijn, bij ontslag of bij verplichte pensionering overeenkomstig de wetgeving van de lidstaat in kwestie.
4.
Een lid kan slechts worden ontslagen indien het op ernstige wijze is tekortgeschoten of niet langer aan de vereisten voor de uitvoering van de taken voldoet. Artikel 49 Oprichting van de toezichthoudende autoriteit
1.
Elke lidstaat regelt het volgende bij wet: a)
de oprichting van elke toezichthoudende autoriteit;
b)
de vereiste kwalificaties en voorwaarden om als lid te worden benoemd voor elke toezichthoudende autoriteit;
c)
de regels en procedures voor de benoeming van de leden van elke toezichthoudende autoriteit;
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
159
NL
d)
de ambtstermijn van het lid of de leden van elke toezichthoudende autoriteit, die ten minste vier jaar bedraagt, behoudens de eerste ambtstermijn na de inwerkingtreding van deze verordening, die korter kan zijn wanneer dat nodig is om de onafhankelijkheid van de toezichthoudende autoriteit door middel van een in de tijd gespreide benoemingsprocedure te beschermen;
e)
of het lid of de leden van elke toezichthoudende autoriteit opnieuw kan of kunnen worden benoemd en zo ja, hoe vaak;
f)
de voorwaarden in verband met de plichten van het lid of de leden en de personeelsleden van elke toezichthoudende autoriteit, de verboden op met die plichten onverenigbare handelingen, werkzaamheden en voordelen tijdens en na de ambtstermijn en de regels betreffende de beëindiging van de ambtstermijn c.q. arbeidsverhouding.
g) 2.
(…)
Ten aanzien van de vertrouwelijke informatie die hun bij de uitvoering van hun taken of de uitoefening van hun bevoegdheden ter kennis is gekomen, geldt voor het lid of de leden en de personeelsleden van elke toezichthoudende autoriteit zowel tijdens hun ambtstermijn als daarna het beroepsgeheim, zulks overeenkomstig Uniewetgeving of nationale wetgeving. Tijdens hun ambtstermijn geldt het beroepsgeheim met name voor meldingen van inbreuken op deze verordening door natuurlijke personen.
Artikel 50 Beroepsgeheim (…)
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
160
NL
AFDELING 2 COMPETENTIE, TAKEN EN BEVOEGDHEDEN Artikel 51 Competentie 1.
Elke toezichthoudende autoriteit heeft de competentie op het grondgebied van haar lidstaat de taken uit te voeren en de bevoegdheden uit te oefenen die haar overeenkomstig deze verordening zijn toegekend.
2.
In het geval van verwerking door overheidsinstanties of door particuliere organen die handelen op grond van artikel 6, lid 1, punt c) of punt e), is de toezichthoudende autoriteit van de betrokken lidstaat bevoegd. In dergelijke gevallen is artikel 51a niet van toepassing.
3.
Toezichthoudende autoriteiten zijn niet bevoegd toe te zien op verwerkingen door rechterlijke instanties bij de uitoefening van hun rechterlijke taken. Artikel 51a Competentie van de leidende toezichthoudende autoriteit
1.
Onverminderd artikel 51 heeft de toezichthoudende autoriteit van de hoofdvestiging of de enige vestiging van de verwerkingsverantwoordelijke of verwerker de bevoegdheid op te treden als leidende toezichthoudende autoriteit voor de grensoverschrijdende verwerking door die verwerkingsverantwoordelijke of verwerker overeenkomstig de procedure van artikel 54a.
2a.
In afwijking van lid 1 heeft elke toezichthoudende autoriteit de bevoegdheid een bij haar ingediende klacht of een eventuele inbreuk op deze verordening te behandelen indien het onderwerp van die zaak alleen verband houdt met een vestiging in haar lidstaat of alleen voor betrokkenen in haar lidstaat wezenlijke gevolgen heeft.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
161
NL
2b.
In de in lid 2a bedoelde gevallen stelt de toezichthoudende autoriteit de leidende toezichthoudende autoriteit onverwijld in kennis van de zaak. Binnen drie weken nadat zij in kennis is gesteld, besluit de leidende toezichthoudende autoriteit of zij de zaak al dan niet zal behandelen, overeenkomstig de in artikel 54a vastgelegde procedure; zij houdt daarbij rekening met het al dan niet bestaan van een vestiging van de verwerkingsverantwoordelijke of de verwerker in de lidstaat van de toezichthoudende autoriteit die haar in kennis heeft gesteld.
2c.
Wanneer de leidende toezichthoudende autoriteit besluit de zaak te behandelen, is de procedure van artikel 54a van toepassing. De toezichthoudende autoriteit die de leidende toezichthoudende autoriteit in kennis heeft gesteld, kan bij deze laatste een ontwerp van besluit indienen. De leidende toezichthoudende autoriteit houdt zo veel mogelijk rekening met dat ontwerp wanneer zij het in artikel 54a, lid 2, bedoelde ontwerpbesluit opstelt.
2d.
Indien de leidende toezichthoudende autoriteit besluit de zaak niet te behandelen, wordt deze overeenkomstig de artikelen 55 en 56 behandeld door de toezichthoudende autoriteit die de leidende toezichthoudende autoriteit in kennis heeft gesteld.
3.
De leidende toezichthoudende autoriteit is voor de verwerkingsverantwoordelijke of de verwerker de enige gesprekspartner bij grensoverschrijdende verwerking door die verwerkingsverantwoordelijke of verwerker. Artikel 52 Taken
1.
Onverminderd andere uit hoofde van deze verordening vastgestelde taken, verricht elke toezichthoudende autoriteit op haar grondgebied de volgende taken: a)
zij ziet toe op en handhaaft de toepassing van deze verordening;
aa)
zij bevordert bij het brede publiek de bekendheid met en het inzicht in de risico's, regels, waarborgen en rechten in verband met de verwerking van persoonsgegevens. Bijzondere aandacht wordt besteed aan specifiek op kinderen gerichte activiteiten;
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
162
NL
ab)
zij verleent advies, overeenkomstig nationale wetgeving, aan het nationale parlement, de regering, en andere instellingen en organen over wetgevingsinitiatieven en bestuursmaatregelen in verband met de bescherming van de rechten en vrijheden van natuurlijke personen op het gebied van de verwerking van persoonsgegevens;
ac)
zij maakt de verwerkingsverantwoordelijken en de verwerkers beter bekend met hun verplichtingen uit hoofde van deze verordening;
ad)
zij verstrekt desgevraagd informatie aan iedere betrokkene over de uitoefening van zijn rechten uit hoofde van deze verordening en werkt, in voorkomend geval, daartoe samen met de toezichthoudende autoriteiten in andere lidstaten;
b)
zij behandelt klachten van betrokkenen, of van organen, organisaties of verenigingen overeenkomstig artikel 76, onderzoekt de inhoud van de klacht in de mate waarin dat nodig is en stelt de klager binnen een redelijke termijn in kennis van de vooruitgang en het resultaat van het onderzoek, met name indien verder onderzoek of coördinatie met een andere toezichthoudende autoriteit nodig is;
c)
zij werkt samen met andere toezichthoudende autoriteiten, onder meer door informatie te delen en wederzijdse bijstand te bieden, teneinde de samenhang in de toepassing en de handhaving van deze verordening te waarborgen;
d)
zij verricht onderzoeken naar de toepassing van deze verordening, onder meer op basis van informatie die zij van een andere toezichthoudende autoriteit of een andere overheidsinstantie ontvangt;
e)
zij volgt de relevante ontwikkelingen voor zover deze een impact hebben op de bescherming van persoonsgegevens, met name de ontwikkelingen in informatie- en communicatietechnologieën en handelspraktijken;
f)
zij stelt de in artikel 26, lid 2c, en artikel 42, lid 2, punt c, bedoelde contractuele standaardbepalingen vast;
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
163
NL
fa)
zij stelt een lijst op met betrekking tot het vereiste inzake een gegevensbeschermingseffectbeoordeling overeenkomstig artikel 33, lid 2a, en houdt deze lijst bij;
g)
zij verstrekt advies over de in artikel 34, lid 3 bedoelde verwerkingsactiviteiten;
ga)
zij moedigt de opstelling van gedragscodes uit hoofde van artikel 38 aan, geeft advies en keurt, overeenkomstig artikel 38, lid 2, gedragscodes goed die voldoende waarborgen leveren;
gb)
zij moedigt de invoering van certificeringsmechanismen voor gegevensbescherming en van gegevensbeschermingszegels en -merktekens aan overeenkomstig artikel 39, lid 1, en keurt de criteria voor certificering uit hoofde van artikel 39, lid 2a, goed;
gc)
waar van toepassing verricht zij een periodieke toetsing van de overeenkomstig artikel 39, lid 4, afgegeven certificeringen;
h)
zij zorgt voor het opstellen en het bekendmaken van de criteria voor de accreditatie van een orgaan voor het toezicht op gedragscodes op grond van artikel 38a en van een certificeringsorgaan op grond van artikel 39a;
(ha) zij zorgt voor de accreditatie van een orgaan voor het toezicht op gedragscodes op grond van artikel 38a en van een certificeringsorgaan op grond van artikel 39a; (hb) zij geeft toestemming voor de in artikel 42, lid 2a, punt a), bedoelde contractuele en andere bepalingen; (i)
zij keurt overeenkomstig artikel 43 bindende bedrijfsvoorschriften goed;
(j)
zij levert een bijdrage aan de activiteiten van het Europees Comité voor gegevensbescherming;
(jb) zij houdt interne registers bij van inbreuken op deze verordening en van getroffen maatregelen, met name gegeven waarschuwingen en opgelegde sancties; (k)
zij verricht alle andere taken die betrekking hebben op de bescherming van persoonsgegevens.
2.
(…)
3.
(…)
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
164
NL
4.
Elke toezichthoudende autoriteit faciliteert het indienen van klachten als bedoeld in lid 1, punt b), door maatregelen te nemen, zoals het ter beschikking stellen van een klachtenformulier dat ook elektronisch kan worden ingevuld, zonder dat andere communicatiemiddelen worden uitgesloten.
5.
Elke toezichthoudende autoriteit verricht haar taken kosteloos voor de betrokkene en, in voorkomend geval, voor de functionaris voor gegevensbescherming.
6.
Wanneer verzoeken kennelijk ongegrond of buitensporig zijn, met name vanwege hun repetitieve karakter, kan de toezichthoudende autoriteit een redelijke vergoeding naargelang van de administratieve kosten aanrekenen, of weigeren aan het verzoek gevolg te geven. Het is aan de toezichthoudende autoriteit om de kennelijk ongegronde of buitensporige aard van het verzoek aan te tonen.
1.
Artikel 53 Bevoegdheden Elk toezichthoudende autoriteit heeft de onderzoeksbevoegdheden om: a)
de verwerkingsverantwoordelijke, de verwerker en, in voorkomend geval, de vertegenwoordiger van de verwerkingsverantwoordelijke of van verwerker te gelasten alle voor de uitvoering van haar taken vereiste informatie te verstrekken;
(aa) onderzoeken te verrichten in de vorm van gegevensbeschermingscontroles; (ab) een toetsing te verrichten van de overeenkomstig artikel 39, lid 4, afgegeven certificeringen; (b)
(…)
(c)
(…)
(d)
de verwerkingsverantwoordelijke of de verwerker in kennis te stellen van een beweerde inbreuk op deze verordening;
(da) van de verwerkingsverantwoordelijke en de verwerker toegang te verkrijgen tot alle persoonsgegevens en alle informatie die zij nodig heeft voor de uitvoering van haar taken; en (db) toegang te verkrijgen tot alle dienstruimten van de verwerkingsverantwoordelijke en de verwerker, daaronder begrepen tot alle uitrustingen en middelen voor gegevensverwerking, in overeenstemming met de Uniewetgeving of het nationale procesrecht.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
165
NL
1b.
Elk toezichthoudende autoriteit heeft de volgende bevoegdheden tot het nemen van corrigerende maatregelen: (a)
de verwerkingsverantwoordelijke of de verwerker waarschuwen dat met de voorgenomen verwerkingen waarschijnlijk inbreuk op bepalingen van deze verordening wordt gemaakt;
(b)
de verwerkingsverantwoordelijke of de verwerker berispen wanneer met verwerkingen inbreuk op bepalingen van deze verordening is gemaakt;
(ca) de verwerkingsverantwoordelijke of de verwerker gelasten de verzoeken van de betrokkene tot uitoefening van zijn rechten uit hoofde van deze verordening in te willigen; (d)
de verwerkingsverantwoordelijke of de verwerker gelasten, waar passend, op een nader bepaalde manier en binnen een nader bepaalde termijn, verwerkingen in overeenstemming te brengen met de bepalingen van deze verordening;
(da) de verwerkingsverantwoordelijke gelasten een inbreuk in verband met persoonsgegevens aan de betrokkene mee te delen; (e)
een tijdelijke of definitieve beperking van het verwerken, met inbegrip van een verwerkingsverbod, opleggen;
(f)
het rectificeren, afschermen of wissen van gegevens uit hoofde van de artikelen 16, 17 en 17a gelasten, alsmede de kennisgeving van dergelijke handelingen aan ontvangers aan wie de gegevens zijn verstrekt, overeenkomstig artikel 17, lid 2a, en artikel 17b;
(fa)(nieuw)een certificering intrekken of het certificeringsorgaan gelasten een uit hoofde van de artikelen 39 en 39a afgegeven certificering in te trekken, of het certificeringsorgaan te gelasten geen certificering af te geven indien niet langer aan de certificeringsvereisten wordt voldaan; (g)
afhankelijk van de omstandigheden van elke zaak, naast, of in plaats van, de in dit lid bedoelde maatregelen, een administratieve geldboete opleggen op grond van artikel 79; en
(h)
de opschorting van gegevensstromen naar een ontvanger in een derde land of naar een internationale organisatie gelasten.
(i)
(…)
(j)
(…)
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
166
NL
1c.
Elke toezichthoudende autoriteit heeft de autorisatie- en adviesbevoegdheden om: (a)
de verwerkingsverantwoordelijke advies te verstrekken in overeenstemming met de procedure van voorafgaande raadpleging van artikel 34;
(aa) op eigen initiatief dan wel op verzoek, aan het nationaal parlement, aan de regering van de lidstaat, of, overeenkomstig nationale wetgeving, aan andere instellingen en organen alsmede aan het publiek, advies te verstrekken over aangelegenheden die verband houden met de bescherming van persoonsgegevens; (ab) toestemming te geven voor verwerking als bedoeld in artikel 34, lid 7a, indien die voorafgaande toestemming bij nationale wetgeving wordt voorgeschreven; (ac) overeenkomstig artikel 38, lid 2, advies uit te brengen over en goedkeuring te hechten aan de ontwerpgedragscodes; (ad) certificeringsorganen te accrediteren overeenkomstig artikel 39a; (ae) certificeringen af te geven en certificeringscriteria goed te keuren overeenkomstig artikel 39, lid 2a; (b)
de in artikel 26, lid 2c, en artikel 42, lid 2, punt c), bedoelde modelbepalingen inzake gegevensbescherming aan te nemen;
(c)
toestemming te verlenen voor de in artikel 42, lid 2a, punt a), bedoelde contractbepalingen;
(ca) toestemming te verlenen voor de in artikel 42, lid 2a, punt d), bedoelde administratieve overeenkomsten; (d)
goedkeuring te hechten aan bindende bedrijfsvoorschriften overeenkomstig artikel 43.
2.
Op de uitoefening van de bevoegdheden die uit hoofde van dit artikel aan de toezichthoudende autoriteit worden verleend, zijn passende waarborgen van toepassing, daaronder begrepen doeltreffende voorziening in rechte en eerlijke rechtsbedeling, als vastgelegd in Uniewetgeving en nationale wetgeving in overeenstemming met het Handvest van de grondrechten van de Europese Unie.
3.
Elke lidstaat bepaalt bij wet dat zijn toezichthoudende autoriteit bevoegd is inbreuken op deze verordening ter kennis van de gerechtelijke autoriteiten te brengen en, waar passend, daartegen een rechtsvordering in te stellen of anderszins in rechte op te treden, teneinde de bepalingen van deze verordening te doen naleven.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
167
NL
4.
Elke lidstaat kan bij wet bepalen dat zijn toezichthoudende autoriteit, naast de in lid 1, 1b en 1c bedoelde bevoegdheden, bijkomende bevoegdheden heeft. De uitoefening van die bevoegdheden vormt geen belemmering voor het doeltreffende functioneren van de bepalingen van hoofdstuk VII. Artikel 54 Activiteitenverslag
Elke toezichthoudende autoriteit stelt jaarlijks een verslag over haar activiteiten op, met daarin mogelijk een lijst van de soorten gemelde inbreuken en de soorten opgelegde straffen. Het verslag wordt toegezonden aan het nationale parlement, de regering en elke andere autoriteit die daartoe bij nationale wetgeving is aangewezen. Het wordt ter beschikking gesteld van het publiek, de Commissie en het Europees Comité voor gegevensbescherming.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
168
NL
HOOFDSTUK VII SAMENWERKING EN CONFORMITEIT AFDELING 1 SAMENWERKING
Artikel 54a Samenwerking tussen de leidende toezichthoudende autoriteit en andere betrokken toezichthoudende autoriteiten 1.
De leidende toezichthoudende autoriteit werkt overeenkomstig dit artikel samen met de andere betrokken toezichthoudende autoriteiten teneinde tot een consensus te komen. De leidende toezichthoudende autoriteit en de betrokken toezichthoudende autoriteiten wisselen alle relevante informatie met elkaar uit.
1a.
De leidende toezichthoudende autoriteit kan te allen tijde andere betrokken toezichthoudende autoriteiten verzoeken wederzijdse bijstand overeenkomstig artikel 55 te verlenen, en kan gezamenlijke operaties ondernemen overeenkomstig artikel 56, in het bijzonder voor het uitvoeren van onderzoeken of voor het toezicht op de uitvoering van een maatregel betreffende een in een andere lidstaat gevestigde verwerkingsverantwoordelijke of verwerker.
2.
De leidende toezichthoudende autoriteit deelt onverwijld alle relevante informatie over de aangelegenheid mee aan de andere betrokken toezichthoudende autoriteiten. Zij legt de andere betrokken toezichthoudende autoriteiten onverwijld te hunner beoordeling een ontwerpbesluit voor en houdt naar behoren rekening met hun standpunten.
3.
Indien één van de andere betrokken toezichthoudende autoriteiten binnen een termijn van vier weken na te zijn geraadpleegd overeenkomstig lid 2, een relevant en gemotiveerd bezwaar tegen het ontwerpbesluit indient, onderwerpt de leidende toezichthoudende autoriteit, indien zij het bezwaar afwijst of het niet relevant en niet gemotiveerd acht, de aangelegenheid aan de in artikel 57 bedoelde conformiteitstoetsing.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
169
NL
3a.
Indien de leidende toezichthoudende autoriteit voornemens is het ingediende bezwaar te honoreren, legt zij de overige betrokken toezichthoudende autoriteiten te hunner beoordeling een herzien ontwerpbesluit voor. Dit herziene ontwerpbesluit wordt binnen een termijn van twee weken aan de in lid 3 bedoelde procedure onderworpen.
4.
Indien geen enkele andere betrokken toezichthoudende autoriteit binnen de in de leden 3 en 3a bedoelde termijn bezwaar heeft gemaakt tegen het door de leidende toezichthoudende autoriteit voorgelegde ontwerpbesluit, worden de leidende toezichthoudende autoriteit en de betrokken toezichthoudende autoriteiten geacht met dit ontwerpbesluit in te stemmen en zijn zij daaraan gebonden.
4a.
De leidende toezichthoudende autoriteit stelt het besluit vast en deelt het mee aan de hoofdvestiging of de enige vestiging van de verwerkingsverantwoordelijke of de verwerker, naargelang het geval, en stelt de andere betrokken toezichthoudende autoriteiten, alsmede het Europees Comité voor gegevensbescherming in kennis van het besluit in kwestie, voorzien van een samenvatting van de relevante feiten en gronden. De toezichthoudende autoriteit waarbij de klacht is ingediend, stelt de klager in kennis van het besluit.
4b.
Ingeval een klacht is afgewezen of verworpen, stelt de toezichthoudende autoriteit waarbij de klacht is ingediend, in afwijking van lid 4a, het besluit vast en deelt zij het mee aan de klager en stelt zij de verwerkingsverantwoordelijke ervan in kennis.
4bb. Indien de leidende toezichthoudende autoriteit en de betrokken toezichthoudende autoriteiten het erover eens zijn delen van een klacht af te wijzen of te verwerpen en voor andere delen van de klacht op te treden, wordt voor elk van die laatstgenoemde delen een afzonderlijk besluit vastgesteld. De leidende toezichthoudende autoriteit stelt het besluit vast voor het deel betreffende de maatregelen inzake de verwerkingsverantwoordelijke, en deelt het mee aan de hoofdvestiging of de enige vestiging van de verwerkingsverantwoordelijke of de verwerker op het grondgebied van haar lidstaat, en stelt de klager daarvan in kennis. Voor het deel waarvoor de klacht in kwestie is afgewezen of verworpen, wordt het besluit vastgesteld door de toezichthoudende autoriteit van de klager, en door haar aan die klager medegedeeld, en wordt de verwerkingsverantwoordelijke of de verwerker daarvan in kennis gesteld.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
170
NL
4c.
De verwerkingsverantwoordelijke of de verwerker treft, na in kennis te zijn gesteld van het besluit van de leidende toezichthoudende autoriteit overeenkomstig lid 4a of lid 4bb, de nodige maatregelen teneinde het besluit wat betreft de verwerkingsactiviteiten binnen al zijn vestigingen binnen de Unie te doen naleven. De verwerkingsverantwoordelijke of de verwerker deelt de door hem met het oog op de naleving van het besluit getroffen maatregelen mee aan de leidende toezichthoudende autoriteit, die de andere betrokken toezichthoudende autoriteiten ervan in kennis stelt.
4d.
Indien, in buitengewone omstandigheden, een betrokken toezichthoudende autoriteit het met reden dringend noodzakelijk acht dat in het belang van bescherming van de belangen van betrokkenen wordt opgetreden, is de in artikel 61 bedoelde spoedprocedure van toepassing.
5.
De leidende toezichthoudende autoriteit en de andere betrokken toezichthoudende autoriteiten verstrekken elkaar de krachtens dit artikel vereiste informatie langs elektronische weg, door middel van een standaardformulier.
Artikel 55 Wederzijdse bijstand 1.
De toezichthoudende autoriteiten verstrekken elkaar relevante informatie en wederzijdse bijstand om deze verordening op een consequente manier ten uitvoer te leggen en toe te passen, en nemen maatregelen om doeltreffend met elkaar samen te werken. De wederzijdse bijstand bestrijkt met name informatieverzoeken en toezichtsmaatregelen, zoals verzoeken om voorafgaande toestemming en raadplegingen, inspecties en onderzoeken.
2.
Elke toezichthoudende autoriteit neemt alle passende maatregelen die nodig zijn om het verzoek van een andere toezichthoudende autoriteit zonder onredelijke vertraging en uiterlijk binnen één maand na ontvangst ervan te beantwoorden. Hierbij kan het in het bijzonder gaan om de toezending van relevante informatie over het uitvoeren van een onderzoek.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
171
NL
3.
Het verzoek om bijstand bevat alle nodige informatie, waaronder het doel van en de redenen voor het verzoek. De uitgewisselde informatie wordt alleen gebruikt voor het doel waarvoor om die informatie is verzocht.
4.
Een toezichthoudende autoriteit waaraan een verzoek om bijstand is gericht, kan dit verzoek slechts afwijzen indien: (a)
zij niet bevoegd is voor het onderwerp van het verzoek of voor de maatregelen die zij verzocht wordt uit te voeren; of
(b)
het verzoek onverenigbaar is met de bepalingen van deze verordening of met de wetgeving van de Unie of de lidstaat die van toepassing is op de toezichthoudende autoriteit die het verzoek ontvangt.
5.
De toezichthoudende autoriteit tot wie het verzoek is gericht, informeert de verzoekende toezichthoudende autoriteit over de resultaten of, in voorkomend geval, de voortgang van de maatregelen die in antwoord op het verzoek zijn genomen. Indien zij het verzoek op grond van lid 4 afwijst, licht zij de redenen daarvoor toe.
6.
De toezichthoudende autoriteiten delen in de regel de door andere toezichthoudende autoriteiten gevraagde informatie langs elektronische weg mee door middel van een standaardformulier.
7.
De maatregelen die ten vervolge op een verzoek om wederzijdse bijstand worden genomen, zijn kosteloos. De toezichthoudende autoriteiten kunnen met andere toezichthoudende autoriteiten regels overeenkomen betreffende schadeloosstelling door andere toezichthoudende autoriteiten voor specifieke uitgaven die voortvloeien uit het verstrekken van wederzijdse bijstand in uitzonderlijke omstandigheden.
8.
Wanneer een toezichthoudende autoriteit de in lid 5 bedoelde informatie niet binnen één maand na ontvangst van het verzoek van een andere toezichthoudende autoriteit verstrekt, kan de verzoekende toezichthoudende autoriteit overeenkomstig artikel 51, lid 1, op het grondgebied van haar lidstaat een voorlopige maatregel nemen. In dit geval wordt geacht dat er overeenkomstig artikel 61, lid 1, dringend moet worden opgetreden en dat dit een dringend bindend besluit van de Europees Comité voor gegevensbescherming vereist overeenkomstig artikel 61, lid 2.
9.
(…)
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
172
NL
10.
De Commissie kan het model en de procedures voor de in dit artikel bedoelde wederzijdse bijstand vastleggen, alsmede de regelingen voor de elektronische uitwisseling van informatie tussen toezichthoudende autoriteiten onderling en tussen toezichthoudende autoriteiten en het Europees Comité voor gegevensbescherming, waaronder het in lid 6 bedoelde standaardformulier. Deze uitvoeringshandelingen worden vastgesteld volgens de in artikel 87, lid 2, bedoelde onderzoeksprocedure. Artikel 56 Gezamenlijke operaties van toezichthoudende autoriteiten
1.
In voorkomend geval voeren de toezichthoudende autoriteiten gezamenlijke operaties uit, waaronder gezamenlijke onderzoeken en gezamenlijke handhavingsmaatregelen, waaraan leden of personeelsleden van toezichthoudende autoriteiten van andere lidstaten deelnemen.
2.
In gevallen waarin de verwerkingsverantwoordelijke of de verwerker vestigingen heeft in meerdere lidstaten, of waarin een significant aantal betrokkenen in meer dan één lidstaat waarschijnlijk wezenlijke gevolgen ondervindt van de verwerkingsactiviteiten, heeft van elk van die lidstaten één toezichthoudende autoriteit het recht om in voorkomend geval aan de gezamenlijke operaties deel te nemen. De bevoegde toezichthoudende autoriteit nodigt, overeenkomstig artikel 51a, lid 1 of lid 2c, de toezichthoudende autoriteit van elk van die lidstaten uit tot deelname aan de betrokken gezamenlijke operaties en beantwoordt onverwijld het verzoek van een toezichthoudende autoriteit om te mogen deelnemen.
3.
Een toezichthoudende autoriteit kan overeenkomstig de wetgeving van haar lidstaat en met toestemming van de ondersteunende toezichthoudende autoriteit, aan de aan gezamenlijke operaties deelnemende leden of personeelsleden van de ondersteunende toezichthoudende autoriteit bevoegdheden toekennen, onder meer in verband met het voeren van onderzoek, of, voor zover de nationale wetgeving de ontvangende toezichthoudende autoriteit dat toestaat, de leden of de personeelsleden van de ondersteunende toezichthoudende autoriteit toestaan om hun onderzoeksbevoegdheden overeenkomstig de nationale wetgeving van de ondersteunende toezichthoudende autoriteit uit te oefenen. Deze onderzoeksbevoegdheden mogen hierbij uitsluitend worden uitgeoefend onder leiding en in aanwezigheid van leden of personeelsleden van de ontvangende toezichthoudende autoriteit. De leden of de personeelsleden van de ondersteunende toezichthoudende autoriteit zijn onderworpen aan de nationale wetgeving van de ontvangende toezichthoudende autoriteit.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
173
NL
3a.
Wanneer personeelsleden van een ondersteunende toezichthoudende autoriteit overeenkomstig lid 1 actief zijn in een andere lidstaat, neemt de lidstaat van de ontvangende toezichthoudende autoriteit de verantwoordelijkheid voor hun activiteiten, met inbegrip van de aansprakelijkheid voor alle door die personeelsleden bij de uitvoering van hun operaties veroorzaakte schade, overeenkomstig de wetgeving van de lidstaat op het grondgebied waarvan die personeelsleden actief zijn.
3b.
De lidstaat op het grondgebied waarvan de schade is veroorzaakt, neemt op zich deze schade te vergoeden op de wijze waarop hij daartoe gehouden zou zijn indien de schade door zijn eigen personeelsleden was toegebracht. De lidstaat van de ondersteunende toezichthoudende autoriteit waarvan de personeelsleden op het grondgebied van een andere lidstaat aan iemand schade hebben veroorzaakt, betaalt die andere lidstaat het volledige bedrag terug dat die andere lidstaat voor rekening van die personeelsleden aan de rechthebbenden heeft uitgekeerd.
3c.
Onverminderd de uitoefening van zijn rechten tegenover derden en met uitzondering van het in lid 3b bepaalde, ziet elke lidstaat er in het in lid 1 bedoelde geval van af het bedrag van de door hem geleden schade op een andere lidstaat te verhalen.
4.
(…)
5.
Wanneer een gezamenlijke operatie is gepland en een toezichthoudende autoriteit niet binnen één maand aan de in lid 2, tweede zin, vastgestelde verplichting voldoet, kunnen de andere toezichthoudende autoriteiten een voorlopige maatregel nemen op het grondgebied van de lidstaat waarvoor zij bevoegd zijn overeenkomstig artikel 51. In dit geval wordt geacht dat er overeenkomstig artikel 61, lid 1, dringend moet worden opgetreden en dat dit een dringend advies of een dringend bindend besluit van het Europees Comité voor gegevensbescherming vereist overeenkomstig artikel 61, lid 2.
6.
(…)
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
174
NL
AFDELING 2 CONFORMITEIT Artikel 57 Conformiteitstoetsing 1.
Teneinde eraan bij te dragen dat deze verordening overal in de Unie consequent wordt toegepast, werken de toezichthoudende autoriteiten met elkaar en, waar passend, met de Commissie samen in het kader van de in deze afdeling beschreven conformiteitstoetsing.
Artikel 58 Advies van het Europees Comité voor gegevensbescherming 1.
Het Europees Comité voor gegevensbescherming brengt een advies uit wanneer een bevoegde toezichthoudende autoriteit voornemens is een van onderstaande maatregelen vast te stellen. Hiertoe deelt de bevoegde toezichthoudende autoriteit het Europees Comité voor gegevensbescherming het ontwerpbesluit mee indien het: c)
de vaststelling beoogt van een lijst van verwerkingen waarvoor de eis inzake een gegevensbeschermingseffectbeoordeling overeenkomstig artikel 33, lid 2a, geldt;
ca)
betrekking heeft op de vraag, overeenkomstig artikel 38, lid 2b, of een gedragscode of de wijziging of uitbreiding van een gedragscode met deze verordening in overeenstemming is;
cb)
ten doel heeft de criteria voor accreditatie van een orgaan overeenkomstig artikel 38a, lid 3, of een certificeringsorgaan overeenkomstig artikel 39a, lid 3, goed te keuren;
d)
de vaststelling beoogt van de in artikel 42, lid 2, punt c, en artikel 26, lid 2c, bedoelde modelbepalingen inzake gegevensbescherming;
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
175
NL
e)
de toestemming beoogt voor de in artikel 42, lid 2a, punt a), bedoelde contractuele bepalingen; of
f)
2.
de goedkeuring beoogt van bindende bedrijfsvoorschriften in de zin van artikel 43.
Een toezichthoudende autoriteit, de voorzitter van het Europees Comité voor gegevensbescherming en de Commissie kunnen elk verzoeken dat aangelegenheden van algemene strekking of met rechtsgevolgen in meer dan één lidstaat onderzocht worden door het Europees Comité voor gegevensbescherming teneinde advies te verkrijgen, met name wanneer een bevoegde toezichthoudende autoriteit haar verplichtingen tot wederzijdse bijstand overeenkomstig artikel 55, of tot gezamenlijke operaties overeenkomstig artikel 56, niet nakomt.
3.
Het Europees Comité voor gegevensbescherming brengt in de in de leden 1 en 2 bedoelde gevallen een advies uit over de aan het comité voorgelegde aangelegenheid, mits het daarover niet eerder advies heeft uitgebracht. Dit advies wordt binnen acht weken vastgesteld met gewone meerderheid van de leden van het Europees Comité voor gegevensbescherming. Deze termijn kan met zes weken worden verlengd, rekening houdend met de complexiteit van de aangelegenheid. Met het in lid 1 bedoelde ontwerpbesluit, dat overeenkomstig lid 6 onder de leden van het Comité wordt verspreid, wordt een lid dat niet binnen een redelijke, door de voorzitter aangegeven termijn bezwaar heeft aangetekend, geacht in te stemmen.
4.
(…)
5.
De toezichthoudende autoriteiten en de Commissie delen zonder onredelijke vertraging langs elektronische weg door middel van een standaardformulier het Europees Comité voor gegevensbescherming alle relevante informatie mee, waaronder naargelang het geval een samenvatting van de feiten, het ontwerpbesluit, de redenen waarom een dergelijke maatregel moet worden genomen en de standpunten van andere betrokken toezichthoudende autoriteiten.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
176
NL
6.
De voorzitter van het Europees Comité voor gegevensbescherming stelt zonder onredelijke vertraging langs elektronische weg: a)
de leden van het Europees Comité voor gegevensbescherming en de Commissie door middel van een standaardformulier in kennis van alle relevante informatie die het Comité heeft ontvangen. Het secretariaat van het Europees Comité voor gegevensbescherming verstrekt indien nodig vertalingen van relevante informatie.
b)
de, naargelang van het geval, in de leden 1 en 2 bedoelde toezichthoudende autoriteit en de Commissie in kennis van het advies en maakt dat advies bekend.
7.
(…)
7a.
De bevoegde toezichthoudende autoriteit stelt haar in lid 1 bedoelde ontwerpbesluit niet vast binnen de in lid 3 bedoelde termijn.
7b.
(…)
8.
De in lid 1 bedoelde toezichthoudende autoriteit houdt maximaal rekening met het advies van het Europees Comité voor gegevensbescherming en deelt de voorzitter van het Europees Comité voor gegevensbescherming binnen twee weken na ontvangst van het advies langs elektronische weg door middel van een standaardformulier mee of zij haar ontwerpbesluit handhaaft dan wel zal wijzigen alsmede, in voorkomend geval het gewijzigde ontwerpbesluit.
9.
Wanneer de betrokken toezichthoudende autoriteit de voorzitter van het Europees Comité voor gegevensbescherming binnen de in lid 8 bedoelde termijn, onder opgave van de redenen, kennis geeft van haar voornemen het advies van het Comité geheel of gedeeltelijk niet op te volgen, is artikel 58a, lid 1, van toepassing.
Artikel 58a Geschillenbeslechting door het Europees Comité voor gegevensbescherming 1.
Om te zorgen voor de correcte en consequente toepassing van deze verordening in individuele gevallen, stelt het Europees Comité voor gegevensbescherming een bindend besluit vast in de volgende gevallen:
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
177
NL
a)
wanneer in een geval als bedoeld in artikel 54a, lid 3, een betrokken toezichthoudende autoriteit een relevant en gemotiveerd bezwaar heeft ingediend tegen een ontwerpbesluit van de leidende toezichthoudende autoriteit of de leidende toezichthoudende autoriteit een bezwaar heeft verworpen als zijnde irrelevant en/of ongemotiveerd. Het bindend besluit heeft betrekking op alle aangelegenheden die onderwerp van het relevante en gemotiveerde bezwaar zijn, en met name op de vraag of inbreuk op de onderhavige verordening wordt gemaakt;
b)
wanneer er verschillend wordt geoordeeld over de vraag welke betrokken toezichthoudende autoriteit bevoegd is voor de hoofdvestiging;
d)
wanneer een bevoegde toezichthoudende autoriteit in de in artikel 58, lid 1, genoemde gevallen het Europees Comité voor gegevensbescherming niet om advies vraagt, of het krachtens artikel 58 uitgebrachte advies van het Europees Comité voor gegevensbescherming niet volgt. In dat geval kan elke betrokken toezichthoudende autoriteit of de Commissie de aangelegenheid meedelen aan het Europees Comité voor gegevensbescherming.
2.
Het in lid 1 bedoelde besluit wordt binnen één maand na de verwijzing van de aangelegenheid vastgesteld met een tweederdemeerderheid van de leden van het Comité. Deze termijn kan wegens de complexiteit van de aangelegenheid met één maand worden verlengd. Het in lid 1 bedoelde besluit wordt met redenen omkleed en gericht tot de leidende toezichthoudende autoriteit en alle betrokken toezichthoudende autoriteiten, en is bindend.
3.
Indien het comité niet binnen de in lid 2 genoemde termijn een besluit heeft kunnen vaststellen, stelt het zijn besluit binnen twee weken na het verstrijken van de in lid 2 bedoelde tweede maand vast, met een gewone meerderheid van zijn leden. Bij staking van stemmen onder de leden van het comité is de stem van de voorzitter beslissend.
4.
De betrokken toezichthoudende autoriteiten stellen tijdens de in de leden 2 en 3 bedoelde termijn geen besluit over de overeenkomstig lid 1 aan het comité voorgelegde aangelegenheid vast.
5.
(…)
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
178
NL
6.
De voorzitter van het Europees Comité voor gegevensbescherming brengt het in lid 1 bedoelde besluit zonder onredelijke vertraging ter kennis van de betrokken toezichthoudende autoriteiten. Hij brengt de Commissie daarvan op de hoogte. Het besluit wordt onverwijld bekendgemaakt op de website van het Europees Comité voor gegevensbescherming nadat de toezichthoudende autoriteit het in lid 7 bedoelde definitieve besluit ter kennis heeft gebracht.
7.
De leidende toezichthoudende autoriteit of, in voorkomend geval, de toezichthoudende autoriteit waarbij de klacht is ingediend, stelt zonder onredelijke vertraging en uiterlijk binnen één maand na de kennisgeving door het Europees Comité voor gegevensbescherming een definitief besluit vast op basis van het in lid 1 bedoelde besluit. De leidende toezichthoudende autoriteit of, in voorkomend geval, de toezichthoudende autoriteit waarbij de klacht is ingediend, deelt het Europees Comité voor gegevensbescherming de datum mee waarop haar definitieve besluit ter kennis wordt gebracht van respectievelijk de verwerkingsverantwoordelijke of de verwerker en de betrokkene. Het definitieve besluit van de betrokken toezichthoudende autoriteiten wordt vastgesteld onder de voorwaarden van artikel 54a, leden 4a, 4b en 4bb. Het definitieve besluit verwijst naar het in lid 1 bedoelde besluit en geeft aan dat genoemd besluit overeenkomstig lid 6 zal worden bekendgemaakt op de website van het Europees Comité voor gegevensbescherming. Het in lid 1 bedoelde besluit wordt aan het definitieve besluit gehecht.
Artikel 59 Advies van de Commissie (…)
Artikel 60 Schorsing van een ontwerpmaatregel (…)
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
179
NL
Artikel 61 Spoedprocedure 1.
In buitengewone omstandigheden kan een betrokken toezichthoudende autoriteit, wanneer zij van mening is dat er dringend moet worden opgetreden om de rechten en vrijheden van betrokkenen te beschermen, in afwijking van de in de artikelen 57, 58 en 58a bedoelde conformiteitstoetsing of van de in artikel 54a bedoelde procedure, onverwijld voorlopige maatregelen met een bepaalde geldigheidsduur van ten hoogste drie maanden nemen die tot doel hebben rechtsgevolgen in het leven te roepen op het eigen grondgebied. De toezichthoudende autoriteit deelt de andere betrokken toezichthoudende autoriteiten, het Europees Comité voor gegevensbescherming en de Commissie onverwijld die maatregelen mee, met opgave van de redenen daarvoor.
2.
Wanneer een toezichthoudende autoriteit overeenkomstig lid 1 een maatregel heeft genomen en van mening is dat er dringend definitieve maatregelen moeten worden genomen, kan zij het Europees Comité voor gegevensbescherming met opgave van redenen om een dringend advies of een dringend bindend besluit verzoeken.
3.
Een toezichthoudende autoriteit kan het Europees Comité voor gegevensbescherming met opgave van redenen, waaronder de redenen waarom er dringend moet worden opgetreden, om een dringend advies of een dringend bindend besluit verzoeken, wanneer de bevoegde toezichthoudende autoriteit geen passende maatregel heeft genomen in een situatie waarin er dringend moet worden opgetreden, teneinde de rechten en vrijheden van betrokkenen te beschermen.
4.
In afwijking van artikel 58, lid 3, en van artikel 58a, lid 2, wordt een als in de leden 2 en 3 bedoeld dringend advies of dringend bindend besluit binnen twee weken met gewone meerderheid van de leden van het Europees Comité voor gegevensbescherming vastgesteld.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
180
NL
Artikel 62 Uitwisseling van informatie 1.
De Commissie kan uitvoeringshandelingen van algemene aard vaststellen om: a)
(…)
b)
(…)
c)
(…)
d)
de regelingen voor de elektronische uitwisseling van informatie tussen toezichthoudende autoriteiten onderling en tussen toezichthoudende autoriteiten en het Europees Comité voor gegevensbescherming, met name het in artikel 58 bedoelde standaardformulier, vast te leggen.
Deze uitvoeringshandelingen worden vastgesteld volgens de in artikel 87, lid 2, bedoelde onderzoeksprocedure. 2.
(…)
3.
(…) Artikel 63 Handhaving (…)
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
181
NL
AFDELING 3 EUROPEES COMITÉ VOOR GEGEVENSBESCHERMING Artikel 64 Europees Comité voor gegevensbescherming 1a.
Het Europees Comité voor gegevensbescherming wordt ingesteld als orgaan van de Unie en heeft rechtspersoonlijkheid.
1b.
Het Europees Comité voor gegevensbescherming wordt vertegenwoordigd door zijn voorzitter.
2.
Het Europees Comité voor gegevensbescherming bestaat uit de voorzitter van één toezichthoudende autoriteit per lidstaat en de Europese Toezichthouder voor gegevensbescherming, of hun respectieve vertegenwoordigers.
3.
Wanneer in een lidstaat meer dan één toezichthoudende autoriteit belast is met het toezicht op de toepassing van de bepalingen krachtens deze verordening, wordt overeenkomstig de nationale wetgeving van die lidstaat een gezamenlijke vertegenwoordiger aangewezen.
4.
De Commissie heeft het recht deel te nemen aan de activiteiten en, zonder stemrecht, aan de bijeenkomsten van het Europees Comité voor gegevensbescherming. De Commissie wijst een vertegenwoordiger aan. De voorzitter van het Europees Comité voor gegevensbescherming stelt de Commissie in kennis van de activiteiten van het Europees Comité voor gegevensbescherming.
5.
In gevallen die verband houden met artikel 58a, heeft de Europese Toezichthouder voor gegevensbescherming uitsluitend stemrecht ten aanzien van besluiten met betrekking tot op de instellingen, organen en instanties van de Unie toepasselijke beginselen en regels welke inhoudelijk met die van de onderhavige verordening overeenstemmen.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
182
NL
Artikel 65 Onafhankelijkheid 1.
Het Europees Comité voor gegevensbescherming treedt bij de uitvoering van zijn taken of de uitoefening van zijn bevoegdheden overeenkomstig de artikelen 66 en 67 onafhankelijk op.
2.
Onverminderd verzoeken van de Commissie als bedoeld in artikel 66, lid 1, punt b), en lid 2, vraagt noch aanvaardt het Europees Comité voor gegevensbescherming bij de uitvoering van zijn taken of de uitoefening van zijn bevoegdheden instructies van wie dan ook. Artikel 66 Taken van het Europees Comité voor gegevensbescherming
1.
Het Europees Comité voor gegevensbescherming zorgt ervoor dat deze verordening consequent wordt toegepast. Daartoe doet het Europees Comité voor gegevensbescherming op eigen initiatief of, waar passend, op verzoek van de Commissie met name het volgende: aa)
toezien op en zorgen voor de juiste toepassing van deze verordening in de in artikel 57, lid 3, bedoelde gevallen, onverminderd de taken van de nationale toezichthoudende autoriteiten;
a)
adviseren van de Commissie over aangelegenheden in verband met de bescherming van persoonsgegevens in de Unie, waaronder alle voorgestelde wijzigingen van deze verordening;
aa)
adviseren van de Commissie over het mechanisme en de procedures voor de uitwisseling van informatie wat betreft bindende bedrijfsvoorschriften tussen verwerkingsverantwoordelijken, verwerkers, en toezichthoudende autoriteiten;
ab)
(nieuw)uitvaardigen van richtsnoeren, aanbevelingen en beste praktijken inzake procedures voor het wissen van links, kopieën of reproducties van persoonsgegevens uit algemeen beschikbare communicatiediensten als bedoeld in artikel 17, lid 2;
b)
onderzoeken, op eigen initiatief of op verzoek van een van zijn leden dan wel op verzoek van de Commissie, van alle kwesties in verband met de toepassing van deze verordening, en uitvaardigen van richtsnoeren, aanbevelingen en beste praktijken om te bevorderen dat deze verordening consequent wordt toegepast;
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
183
NL
ba)
(nieuw) uitvaardigen van richtsnoeren, aanbevelingen en beste praktijken in overeenstemming met artikel 66, lid 1, punt b), ter verdere specificatie van de criteria en de voorwaarden voor besluiten op basis van profilering krachtens artikel 20, lid 2;
bb)
(nieuw) uitvaardigen van richtsnoeren, aanbevelingen en beste praktijken in overeenstemming met artikel 66, lid 1, punt b), ter vaststelling van de in de leden 1 en 2 bedoelde inbreuken in verband met persoonsgegevens alsmede van de in artikel 31, leden 1 en 2, bedoelde onnodige vertraging, en voor de bijzondere omstandigheden waarin een verwerkingsverantwoordelijke of een verwerker verplicht is de inbreuk in verband met persoonsgegevens te melden;
bc)
(nieuw) uitvaardigen van richtsnoeren, aanbevelingen en beste praktijken in overeenstemming met artikel 66, lid 1, punt b), ten aanzien van de omstandigheden waarin een inbreuk in verband met persoonsgegevens waarschijnlijk een hoog risico oplevert voor de rechten en vrijheden van natuurlijke personen, als bedoeld in artikel 32, lid 1.
bd)
(nieuw) uitvaardigen van richtsnoeren, aanbevelingen en beste praktijken in overeenstemming met artikel 66, lid 1, punt b), ter verdere specificatie van de criteria en de eisen voor gegevensdoorgiften op basis van bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken en bindende bedrijfsvoorschriften voor verwerkers, alsmede op basis van verdere noodzakelijke eisen om de bescherming van persoonsgegevens van de betrokkenen in kwestie te garanderen, als bedoeld in artikel 43;
be)
(nieuw) uitvaardigen van richtsnoeren, aanbevelingen en beste praktijken in overeenstemming met artikel 66, lid 1, punt b), ter verdere specificatie van de criteria en de eisen voor de gegevensdoorgiften op grond van artikel 44, lid 1;
ba)
opstellen van richtsnoeren voor toezichthoudende autoriteiten betreffende de toepassing van de in artikel 53, leden 1, 1b en 1c, bedoelde maatregelen en betreffende de vaststelling van administratieve geldboetes overeenkomstig artikel 79;
c)
toetsen van de praktische toepassing van de in de punten b) en ba) bedoelde richtsnoeren, aanbevelingen en beste praktijken;
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
184
NL
ca0) uitvaardigen van richtsnoeren, aanbevelingen en beste praktijken in overeenstemming met artikel 66, lid 1, punt b), ter vaststelling van gemeenschappelijke procedures waarmee personen inbreuken op deze verordening kunnen melden, als bedoeld in artikel 49, lid 2; ca)
bevorderen van het opstellen van gedragscodes en het invoeren van certificeringsmechanismen voor gegevensbescherming en gegevensbeschermingszegels en merktekens overeenkomstig de artikelen 38 en 39;
cb)
verrichten van de accreditatie van certificeringsorganen en van de periodieke toetsing daarvan overeenkomstig artikel 39a, en houden van een openbaar register van geaccrediteerde organen conform artikel 39a, lid 6, en van de geaccrediteerde verwerkingsverantwoordelijken of verwerkers die in derde landen zijn gevestigd, overeenkomstig artikel 39, lid 4;
cd)
specificeren van de in artikel 39a, lid 3, bedoelde vereisten met het oog op de accreditatie van certificeringsorganen overeenkomstig artikel 39;
cda) uitbrengen van een advies ten behoeve van de Commissie over de in artikel 39a, lid 7, bedoelde certificeringseisen; cdb) uitbrengen van een advies ten behoeve van de Commissie over de in artikel 12, lid 4b, bedoelde icoontjes; ce)
uitbrengen aan de Commissie van een advies om haar in staat te stellen te beoordelen of het beschermingsniveau in een derde land of een internationale organisatie adequaat is, en om te beoordelen of een derde land, het gebied, de internationale organisatie of de genoemde sector geen adequaat beschermingsniveau meer garandeert. Daartoe verstrekt de Commissie het Europees Comité voor gegevensbescherming alle nodige documentatie, met inbegrip van correspondentie met de overheid van het derde land, het grondgebied of de verwerkingssector in dat derde land of de internationale organisatie.
d)
uitbrengen van adviezen over ontwerpbesluiten van de toezichthoudende autoriteiten in het kader van de in artikel 57 bedoelde conformiteitstoetsing en over aangelegenheden die overeenkomstig artikel 57, lid 2, ter tafel worden gebracht;
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
185
NL
e)
bevorderen van samenwerking en effectieve bilaterale en multilaterale uitwisseling van informatie en praktijken tussen de toezichthoudende autoriteiten;
f)
bevorderen van gemeenschappelijke opleidingsprogramma's en vergemakkelijken van uitwisselingen van personeelsleden tussen de toezichthoudende autoriteiten, alsmede, waar passend, met de toezichthoudende autoriteiten van derde landen of van internationale organisaties;
g)
bevorderen van de uitwisseling van kennis en documentatie over de wetgeving en praktijken op het gebied van gegevensbescherming met de toezichthoudende autoriteiten op het gebied van gegevensbescherming wereldwijd.
gb)
uitbrengen van adviezen over op het niveau van de Unie opgestelde gedragscodes overeenkomstig artikel 38, lid 4;
i)
houden van een openbaar elektronisch register van besluiten van toezichthoudende autoriteiten en rechterlijke instanties over in het kader van de conformiteitstoetsing behandelde aangelegenheden.
2.
Wanneer de Commissie het Europees Comité voor gegevensbescherming om advies vraagt, kan zij een termijn aangeven, rekening houdend met de spoedeisendheid van de aangelegenheid.
3.
Het Europees Comité voor gegevensbescherming zendt zijn adviezen, richtsnoeren, aanbevelingen en beste praktijken toe aan de Commissie en aan het in artikel 87 bedoelde comité en maakt deze bekend.
4.
(…)
4a.
Het Europees Comité voor gegevensbescherming raadpleegt, waar passend, de belanghebbende partijen en biedt hun de gelegenheid om binnen een redelijk tijdsbestek commentaar te leveren. Onverminderd artikel 72, maakt het Europees Comité voor gegevensbescherming de resultaten van de raadpleging openbaar.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
186
NL
Artikel 67 Rapportage 1.
(…)
2.
Het Europees Comité voor gegevensbescherming stelt een jaarverslag op over de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens in de Unie en, in voorkomend geval, in derde landen en internationale organisaties. Het verslag wordt openbaar gemaakt en toegezonden aan het Europees Parlement, de Raad en de Commissie.
3.
Het jaarverslag omvat een evaluatie van de praktische toepassing van de richtsnoeren, aanbevelingen en beste praktijken bedoeld in artikel 66, lid 1, punt c), en van de bindende besluiten bedoeld in artikel 58a, lid 1.
Artikel 68 Procedure 1.
Het Europees Comité voor gegevensbescherming neemt besluiten met een gewone meerderheid van zijn leden, tenzij anders bepaald in deze verordening.
2.
Het Europees Comité voor gegevensbescherming stelt met een tweederdemeerderheid van zijn leden zijn eigen reglement van orde en zijn eigen werkregelingen vast.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
187
NL
Artikel 69 Voorzitter 1.
Het Europees Comité voor gegevensbescherming kiest met gewone meerderheid een voorzitter en twee vicevoorzitters uit zijn leden.
2.
De ambtstermijn van de voorzitter en de vicevoorzitters bedraagt vijf jaar en kan eenmaal worden verlengd. Artikel 70 Taken van de voorzitter
1.
2.
De voorzitter heeft de volgende taken: a)
bijeenroepen van de bijeenkomsten van het Europees Comité voor gegevensbescherming en het opstellen van zijn agenda;
aa)
ter kennis brengen van de door het Europees Comité voor gegevensbescherming overeenkomstig artikel 58a vastgestelde besluiten aan de leidende toezichthoudende autoriteit en de betrokken toezichthoudende autoriteiten;
b)
ervoor zorgen dat de taken van het Europees Comité voor gegevensbescherming tijdig worden uitgevoerd, met name wat de in artikel 57 bedoelde conformiteitstoetsing betreft.
Het Europees Comité voor gegevensbescherming stelt in zijn reglement van orde de taakverdeling tussen de voorzitter en de vicevoorzitters vast. Artikel 71 Secretariaat
1.
Het Europees Comité voor gegevensbescherming heeft een secretariaat, dat wordt verzorgd door de Europese Toezichthouder voor gegevensbescherming.
1a.
Het secretariaat verricht zijn taken uitsluitend volgens de instructies van de voorzitter van het Europees Comité voor gegevensbescherming.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
188
NL
1b.
De personeelsleden van de Europese Toezichthouder voor gegevensbescherming die betrokken zijn bij de uitvoering van de krachtens deze verordening aan het Europees Comité voor gegevensbescherming opgedragen taken, vallen onder een andere rapportageregeling dan de personeelsleden die betrokken zijn bij de uitvoering van de aan de Europese Toezichthouder voor gegevensbescherming opgedragen taken.
1c.
Waar passend, wordt door het Europees Comité voor gegevensbescherming en de Europese Toezichthouder voor gegevensbescherming een memorandum van overeenstemming ter uitvoering van dit artikel opgesteld en bekendgemaakt, waarin de voorwaarden van hun samenwerking worden vastgelegd en dat van toepassing is op de personeelsleden van de Europese Toezichthouder voor gegevensbescherming die betrokken zijn bij de uitvoering van de krachtens deze verordening aan het Europees Comité voor gegevensbescherming opgedragen taken.
2.
Het secretariaat biedt het Europees Comité voor gegevensbescherming analytische, administratieve en logistieke ondersteuning.
3.
Het secretariaat is met name belast met: a)
de dagelijkse werking van het Europees Comité voor gegevensbescherming;
b)
de communicatie tussen de leden van het Europees Comité voor gegevensbescherming, zijn voorzitter en de Commissie en de communicatie met andere instellingen en het brede publiek;
c)
het gebruik van elektronische middelen voor interne en externe communicatie;
d)
de vertaling van relevante informatie;
e)
de voorbereiding en follow-up van de bijeenkomsten van het Europees Comité voor gegevensbescherming;
f)
de voorbereiding, opstelling en bekendmaking van adviezen, besluiten inzake beslechting van geschillen tussen toezichthoudende autoriteiten, en andere teksten die door het Europees Comité voor gegevensbescherming worden aangenomen.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
189
NL
Artikel 72 Vertrouwelijkheid 1.
De besprekingen van het Europees Comité voor gegevensbescherming zijn vertrouwelijk indien het comité dit noodzakelijk acht, in overeenstemming met zijn reglement van orde.
2.
Op de toegang tot documenten die aan de leden van het Europees Comité voor gegevensbescherming, deskundigen en vertegenwoordigers van derde partijen worden voorgelegd, is Verordening (EG) nr. 1049/2001 van toepassing.
3.
(…)
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
190
NL
HOOFDSTUK VIII BEROEP, AANSPRAKELIJKHEID EN SANCTIES Artikel 73 Recht om een klacht in te dienen bij een toezichthoudende autoriteit 1.
Onverminderd andere mogelijkheden van administratief beroep of een voorziening in rechte, heeft iedere betrokkene het recht een klacht in te dienen bij een toezichthoudende autoriteit, met name in de lidstaat waar hij gewoonlijk verblijft, hij zijn werkplek heeft of waar de beweerde inbreuk is begaan, indien hij van mening is dat de verwerking van hem betreffende persoonsgegevens niet aan deze verordening voldoet.
2.
(…)
3.
(…)
4.
(…)
5.
De toezichthoudende autoriteit waarbij de klacht is ingediend, stelt de klager in kennis van de voortgang en het resultaat van de klacht, alsmede van de mogelijke voorziening in rechte overeenkomstig artikel 74. Artikel 74 Recht om een voorziening in rechte in te stellen tegen een toezichthoudende autoriteit
1.
Onverminderd andere mogelijkheden van administratief of buitengerechtelijk beroep, heeft iedere natuurlijke persoon of rechtspersoon het recht om tegen een hem betreffend juridisch bindend besluit van een toezichthoudende autoriteit een doeltreffende voorziening in rechte in te stellen.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
191
NL
2.
Onverminderd andere mogelijkheden van administratief of buitengerechtelijk beroep heeft iedere betrokkene het recht om een doeltreffende voorziening in rechte in te stellen indien de overeenkomstig de artikelen 51 en 51a bevoegde toezichthoudende autoriteit een klacht niet behandelt of de betrokkene niet binnen drie maanden in kennis stelt van de voortgang of het resultaat van de uit hoofde van artikel 73 ingediende klacht.
3.
Een procedure tegen een toezichthoudende autoriteit wordt ingesteld bij de rechterlijke instanties van de lidstaat waar de toezichthoudende autoriteit is gevestigd.
3a.
Wanneer een procedure wordt ingesteld tegen een besluit van een toezichthoudende autoriteit waaraan een advies of een besluit van het Europees Comité voor gegevensbescherming in het kader van de conformiteitstoetsing is voorafgegaan, doet de toezichthoudende autoriteit dat advies of besluit aan de rechterlijke instantie toekomen.
4.
(…)
5.
(…) Artikel 75 Recht om een doeltreffende voorziening in rechte in te stellen tegen een verwerkingsverantwoordelijke of een verwerker
1.
Onverminderd andere mogelijkheden van administratief of buitengerechtelijk beroep, waaronder het recht uit hoofde van artikel 73 een klacht in te dienen bij een toezichthoudende autoriteit, heeft elke betrokkene het recht een doeltreffende voorziening in rechte in te stellen indien hij van mening is dat zijn rechten uit hoofde van deze verordening geschonden zijn als gevolg van een verwerking van zijn persoonsgegevens die niet aan deze verordening voldoet.
2.
Een procedure tegen een verwerkingsverantwoordelijke of een verwerker wordt ingesteld bij de rechterlijke instanties van de lidstaat waar de verwerkingsverantwoordelijke of de verwerker een vestiging heeft. Een dergelijke procedure kan ook worden ingesteld bij de rechterlijke instanties van de lidstaat waar de betrokkene gewoonlijk verblijft, tenzij de verwerkingsverantwoordelijke of de verwerker een overheidsinstantie van een lidstaat is die optreedt in de uitoefening van het overheidsgezag.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
192
NL
3.
(…)
4.
(…) Artikel 76 Vertegenwoordiging van betrokkenen
1.
De betrokkene heeft het recht een orgaan, organisatie of vereniging die op geldige wijze volgens het recht van een lidstaat is opgericht en geen winstoogmerk heeft, waarvan de statutaire doelstellingen het openbare belang dienen en die actief is op het gebied van de bescherming van de rechten en vrijheden van de betrokkene in verband met de bescherming van diens persoonsgegevens, opdracht te geven de klacht namens hem in te dienen, namens hem de in artikelen 73, 74 en 75 bedoelde rechten uit te oefenen en namens hem het in artikel 77 bedoelde recht op schadevergoeding uit te oefenen, indien daarin in de wetgeving van de lidstaat is voorzien.
2.
De lidstaten kunnen bepalen dat een orgaan, organisatie of vereniging als bedoeld in lid 1, over het recht beschikt om, onafhankelijk van de opdracht van een betrokkene, in die lidstaat een klacht in te dienen bij de overeenkomstig artikel 73 bevoegde toezichthoudende autoriteit en de in de artikelen 74 en 75 bedoelde rechten uit te oefenen, indien het/zij van mening is dat de rechten van een betrokkene zijn geschonden als gevolg van een verwerking van persoonsgegevens die niet strookt met deze verordening.
3.
(…)
4.
(…)
5.
(…) Artikel 76a Schorsing van de procedure
1.
Indien een bevoegde rechterlijke instantie van een lidstaat over informatie beschikt dat bij een rechterlijke instantie van een andere lidstaat een procedure inzake verwerking betreffende dezelfde aangelegenheid en dezelfde verwerkingsverantwoordelijke of verwerker hangende is, neemt zij contact op met die rechterlijke instantie in de andere lidstaat om het bestaan van die procedure te verifiëren.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
193
NL
2.
Indien een procedure inzake verwerking met betrekking tot dezelfde aangelegenheid en dezelfde verwerkingsverantwoordelijke of verwerker hangende is bij een rechterlijke instantie van een andere lidstaat, kan iedere andere bevoegde rechterlijke instantie dan die welke als eerste is aangezocht, haar procedure schorsen.
2a.
Indien de procedure in eerste aanleg aanhangig is, kan elke rechterlijke instantie die niet als eerste is aangezocht, op verzoek van een der partijen, ook tot verwijzing overgaan, mits de eerst aangezochte rechterlijke instantie bevoegd is om van de beide procedures kennis te nemen en haar wetgeving de voeging ervan toestaat. Artikel 77 Recht op vergoeding en aansprakelijkheid
1.
Iedere persoon die materiële of immateriële schade heeft geleden als gevolg van een inbreuk op deze verordening, heeft het recht om van de verwerkingsverantwoordelijke of de verwerker een schadevergoeding te ontvangen.
2.
Elke verwerkingsverantwoordelijke die bij de verwerking is betrokken, is aansprakelijk voor de schade die wordt veroorzaakt door de verwerking die niet in overeenstemming is met deze verordening. Een verwerker is slechts aansprakelijk voor de schade die door de verwerking is veroorzaakt wanneer bij de verwerking niet aan de specifieke verplichtingen voor verwerkers uit hoofde van deze verordening is voldaan of buiten dan wel in strijd met de rechtmatige instructies van de verwerkingsverantwoordelijke is gehandeld.
3.
Een verwerkingsverantwoordelijke of verwerker wordt van aansprakelijkheid overeenkomstig lid 2 vrijgesteld indien hij bewijst dat hij op geen enkele wijze verantwoordelijk is voor het schadebrengende feit.
4.
Wanneer meerdere verwerkingsverantwoordelijken of verwerkers bij dezelfde verwerking betrokken zijn, en overeenkomstig de leden 2 en 3 verantwoordelijk zijn voor schade die door de verwerking is veroorzaakt, wordt elke verwerkingsverantwoordelijke of verwerker voor de gehele schade aansprakelijk gehouden teneinde te garanderen dat de betrokkene daadwerkelijk wordt vergoed.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
194
NL
5.
Wanneer een verwerkingsverantwoordelijke of verwerker overeenkomstig lid 4 de schade geheel heeft vergoed, kan deze verwerkingsverantwoordelijke of verwerker op andere verwerkingsverantwoordelijken of verwerkers die bij de verwerking waren betrokken, het deel van de schadevergoeding verhalen dat in overeenstemming is met hun deel van de verantwoordelijkheid voor de schade, overeenkomstig de voorwaarden van lid 2.
6.
Gerechtelijke procedures voor het uitoefenen van het recht op schadevergoeding worden gevoerd voor de in artikel 75, lid 2, bedoelde krachtens nationale wetgeving bevoegde rechtelijke instanties van de lidstaten. Artikel 78 Sancties (…) Artikel 79 Algemene voorwaarden voor het opleggen van administratieve geldboetes
1a.
Elke toezichthoudende autoriteit zorgt ervoor dat de administratieve geldboetes die uit hoofde van dit artikel worden opgelegd voor de in de leden 3 (nieuw), 3a (nieuw) en 3aa (nieuw) vermelde inbreuken op deze verordening, in elke zaak doeltreffend, evenredig en afschrikkend zijn.
2.
(…)
2a.
Administratieve geldboetes worden, afhankelijk van de omstandigheden van elke zaak afzonderlijk, opgelegd naast of in plaats van de in artikel 53, lid 1b, punten a) tot en met fa) en h), bedoelde maatregelen. Bij het besluit over de vraag of een administratieve geldboete wordt opgelegd en over de hoogte daarvan, wordt voor elke zaak afzonderlijk terdege rekening gehouden met het volgende: a)
de aard, de ernst en de duur van de inbreuk, rekening houdend met de aard, de omvang of het doel van de betrokken verwerking alsmede het aantal getroffen betrokkenen en de omvang van de door hen geleden schade;
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
195
NL
b)
het feit of de inbreuk opzettelijk of uit nalatigheid is gepleegd;
c)
(…)
d)
de door de verwerkingsverantwoordelijke of de verwerker genomen maatregelen om de door betrokkenen geleden schade te beperken;
e)
de mate waarin de verwerkingsverantwoordelijke of de verwerker verantwoordelijk is gezien de technische en organisatorische maatregelen die hij heeft uitgevoerd overeenkomstig de artikelen 23 en 30;
f)
eerdere relevante inbreuken van de verwerkingsverantwoordelijke of de verwerker;
g)
(nieuw) de mate waarin er met de toezichthoudende autoriteit is samengewerkt om de inbreuk te verhelpen en de mogelijke negatieve gevolgen ervan te beperken;
ga)
(nieuw) de categorieën van persoonsgegevens waarop de inbreuk betrekking heeft;
h)
de wijze waarop de toezichthoudende autoriteit kennis van de inbreuk heeft gekregen, met name of, en zo ja in hoeverre, de verwerkingsverantwoordelijke of de verwerker de inbreuk heeft gemeld;
i)
de naleving van de in artikel 53, lid 1b, genoemde maatregelen, voor zover die eerder ten aanzien van de verwerkingsverantwoordelijke of de verwerker in kwestie met betrekking tot dezelfde aangelegenheid zijn genomen;
j)
de inachtneming van goedgekeurde gedragscodes overeenkomstig artikel 38 of van goedgekeurde certificeringsmechanismen overeenkomstig artikel 39;
k)
(…)
m)
elke andere op de omstandigheden van de zaak toepasselijke verzwarende of verzachtende factor, zoals gemaakte financiële winsten, of vermeden verliezen, die rechtstreeks of onrechtstreeks uit de inbreuk voortvloeien.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
196
NL
2b.
Indien een verwerkingsverantwoordelijke of een verwerker opzettelijk of uit nalatigheid met betrekking tot dezelfde of ermee verband houdende verwerkingsactiviteiten een inbreuk pleegt op meerdere bepalingen van deze verordening, kan de totale geldboete niet hoger zijn dat die voor de zwaarste inbreuk.
3.
(…)
3(nieuw). Inbreuken op onderstaande bepalingen zijn in overeenstemming met lid 2a onderworpen aan administratieve geldboetes tot 10 000 000 EUR of, voor een onderneming, tot 2% van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is: a)
de verplichtingen van de verwerkingsverantwoordelijke en de verwerker overeenkomstig de artikelen 8, 10, 23, 24, 25, 26, 27, 28, 29, 30, 31, 32, 33, 34, 35, 36, 37, 39 en 39a;
aa)
de verplichtingen van het certificeringsorgaan overeenkomstig de artikelen 39 en 39a;
ab)
de verplichtingen van het toezichthoudend orgaan overeenkomstig artikel 38a, lid 4;
3a(nieuw). Inbreuken op onderstaande bepalingen zijn in overeenstemming met lid 2a onderworpen aan administratieve geldboetes tot 20 000 000 EUR of, voor een onderneming, tot 4% van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is: a)
de basisbeginselen inzake verwerking, met inbegrip van de voorwaarden voor toestemming, overeenkomstig de artikelen 5, 6, 7 en 9;
b)
de rechten van de betrokkenen overeenkomstig de artikelen 12 tot en met 20;
ba)
de doorgiften van persoonsgegevens aan een ontvanger in een derde land of een internationale organisatie overeenkomstig de artikelen 40 tot en met 44;
bb)
alle verplichtingen uit hoofde van krachtens hoofdstuk IX door de lidstaten vastgestelde nationale wetten;
c)
niet-naleving van een bevel of een tijdelijke of definitieve beperking van het verwerken of een opschorting van gegevensstromen door de toezichthoudende autoriteit overeenkomstig artikel 53, lid 1b, of niet-verlening van toegang in strijd met artikel 53, lid 1;
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
197
NL
3aa(nieuw). Niet-naleving van een bevel van de toezichthoudende autoriteit als bedoeld in artikel 53, lid 1b, is in overeenstemming met lid 2a onderworpen aan administratieve geldboetes tot 20 000 000 EUR of, voor een onderneming, tot 4% van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is. 3b.
Onverminderd de corrigerende bevoegdheden van de toezichthoudende autoriteiten overeenkomstig artikel 53, lid 1b, kan elke lidstaat regels vaststellen betreffende de vraag of en in welke mate administratieve geldboetes kunnen worden opgelegd aan in die lidstaat gevestigde overheidsinstanties en overheidsorganen.
4.
De uitoefening door de toezichthoudende autoriteit van haar bevoegdheden uit hoofde van dit artikel is onderworpen aan passende procedurele garanties overeenkomstig de Uniewetgeving en de nationale wetgeving, waaronder een doeltreffende voorziening in rechte en eerlijke rechtsbedeling.
5.
Wanneer het rechtsstelsel van de lidstaat niet voorziet in administratieve geldboetes, kan artikel 79 zodanig worden toegepast dat geldboetes worden geïnitieerd door de bevoegde toezichthoudende autoriteit en opgelegd door bevoegde nationale rechterlijke instanties, waarbij wordt gewaarborgd dat deze rechtsmiddelen doeltreffend zijn en eenzelfde effect hebben als de door toezichthoudende autoriteiten opgelegde administratieve geldboetes. De boetes zijn in elk geval doeltreffend, evenredig en afschrikkend. Deze lidstaten delen de Commissie uiterlijk op de in artikel 91, lid 2, vastgelegde datum de betrokken wetgevingsbepalingen mee, alsmede onverwijld alle latere wijzigingen daarvan en alle latere wijzigingswetgeving.
6.
(…)
7.
(…)
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
198
NL
Artikel 79b Sancties 1.
De lidstaten stellen de sanctieregels vast die van toepassing zijn op inbreuken op deze verordening, in het bijzonder op inbreuken die niet aan administratieve geldboetes onderworpen zijn overeenkomstig artikel 79, en treffen alle nodige maatregelen om ervoor te zorgen dat zij worden toegepast. Die sancties zijn doeltreffend, evenredig en afschrikkend.
2.
(…)
3.
Elke lidstaat deelt de Commissie uiterlijk op de in artikel 91, lid 2, vastgelegde datum de wetgevingsbepalingen mee die hij heeft vastgesteld overeenkomstig lid 1, alsmede onverwijld alle latere wijzigingen daarvan.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
199
NL
HOOFDSTUK IX BEPALINGEN IN VERBAND MET SPECIFIEKE SITUATIES OP HET GEBIED VAN GEGEVENSVERWERKING Artikel 80 Verwerking van persoonsgegevens en vrijheid van meningsuiting en van informatie 1.
De lidstaten brengen het recht op bescherming van persoonsgegevens overeenkomstig deze verordening wettelijk in overeenstemming met het recht op vrijheid van meningsuiting en van informatie, daaronder begrepen de verwerking van persoonsgegevens voor journalistieke doelen en ten behoeve van academische, artistieke of literaire uitdrukkingsvormen.
2.
Voor de verwerking van persoonsgegevens voor journalistieke doelen of ten behoeve van academische, artistieke of literaire uitdrukkingsvormen stellen de lidstaten uitzonderingen of afwijkingen vast van het bepaalde in hoofdstuk II (beginselen), hoofdstuk III (rechten van de betrokkene), hoofdstuk IV (de verwerkingsverantwoordelijke en de verwerker), hoofdstuk V (doorgifte van persoonsgegevens naar derde landen of internationale organisaties), hoofdstuk VI (onafhankelijke toezichthoudende autoriteiten), hoofdstuk VII (samenwerking en conformiteit) en hoofdstuk IX (specifieke gegevensverwerkingssituaties) indien deze noodzakelijk zijn om het recht op bescherming van persoonsgegevens in overeenstemming te brengen met de vrijheid van meningsuiting en van informatie.
3.
Elke lidstaat deelt de Commissie de wetgevingsbepalingen mee die hij heeft vastgesteld overeenkomstig lid 2, alsmede onverwijld alle latere wijzigingen daarvan.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
200
NL
Artikel 80a Verwerking van persoonsgegevens en recht van toegang van het publiek tot officiële documenten Persoonsgegevens in officiële documenten die voor de uitvoering van een taak van algemeen belang in het bezit zijn van een overheidsinstantie, een overheidsorgaan of een particulier orgaan, mogen door de instantie of het orgaan in kwestie worden verstrekt in overeenstemming met de Uniewetgeving of de nationale wetgeving die op de overheidsinstantie of het orgaan van toepassing is, teneinde het recht van toegang van het publiek tot officiële documenten in overeenstemming te brengen met het recht op bescherming van persoonsgegevens uit hoofde van deze verordening. Artikel 80aa Verwerking van persoonsgegevens en hergebruik van overheidsinformatie (…)
Artikel 80b Verwerking van het nationaal identificatienummer De lidstaten kunnen de specifieke voorwaarden voor het verwerken van een nationaal identificatienummer of enig ander identificatiemiddel van algemene aard nader vaststellen. In dat geval wordt het nationaal identificatienummer of enig ander identificatiemiddel van algemene aard alleen gebruikt met passende waarborgen voor de rechten en vrijheden van de betrokkene uit hoofde van deze verordening. Artikel 81 Verwerking van persoonsgegevens voor gezondheidsdoeleinden (…) Artikel 81a Verwerking van genetische gegevens (…)
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
201
NL
Artikel 82 Verwerking in het kader van de arbeidsverhouding 1.
Bij wet of bij collectieve overeenkomst kunnen de lidstaten specifiekere regels vaststellen ter bescherming van de rechten en vrijheden met betrekking tot de verwerking van de persoonsgegevens van werknemers in het kader van de arbeidsverhouding, in het bijzonder met het oog op aanwerving, de uitvoering van het arbeidscontract, met inbegrip van de naleving van wettelijke of uit collectieve overeenkomsten voortvloeiende verplichtingen, het beheer, de planning en de organisatie van de arbeid, gelijkheid en diversiteit op het werk, gezondheid en veiligheid op het werk, bescherming van de eigendom van de werkgever of de klant dan wel met het oog op de uitoefening en het genot van de met de arbeidsverhouding samenhangende individuele of collectieve rechten en voordelen, en met het oog op de beëindiging van de arbeidsverhouding.
2.
Die regels omvatten passende en specifieke maatregelen ter waarborging van de menselijke waardigheid, de gerechtvaardigde belangen en de grondrechten van de betrokkene, met name wat betreft de transparantie van de verwerking, de doorgifte van gegevens binnen een groep van ondernemingen en toezichtsystemen op het werk.
2a.
Elke lidstaat deelt de Commissie uiterlijk op de in artikel 91, lid 2, vastgelegde datum de wetgevingsbepalingen mee die hij heeft vastgesteld overeenkomstig lid 1, alsmede onverwijld alle latere wijzigingen daarvan.
3.
(…)
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
202
NL
Artikel 83 Waarborgen en afwijkingen voor de verwerking van persoonsgegevens met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doelen
1.
De verwerking van persoonsgegevens met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doelen is onderworpen aan in overeenstemming met deze verordening passende waarborgen voor de rechten en vrijheden van de betrokkene. Deze waarborgen zorgen ervoor dat er technische en organisatorische maatregelen zijn getroffen om de inachtneming van het beginsel minimale gegevensverwerking te garanderen. Een van deze maatregelen kan pseudonimisering zijn, mits aldus de doelen in kwestie kunnen worden verwezenlijkt. Indien deze doelen kunnen worden verwezenlijkt door verdere gegevensverwerking die de identificatie van betrokkenen niet of niet langer toelaat, moeten zij aldus verwezenlijkt worden.
2.
Wanneer persoonsgegevens met het oog op wetenschappelijk of historisch onderzoek of statistische doelen worden verwerkt, kan in Uniewetgeving of nationale wetgeving worden voorzien in afwijkingen van de in de artikelen 15, 16, 17a en 19 genoemde rechten, behoudens de in lid 1 bedoelde voorwaarden en waarborgen, voor zover die rechten het verwezenlijken van de specifieke doelen onmogelijk dreigen te maken of ernstig dreigen te belemmeren, en dergelijke afwijkingen noodzakelijk zijn om die doelen te bereiken.
3.
Wanneer persoonsgegevens met het oog op archivering in het algemeen belang worden verwerkt, kan in Uniewetgeving of nationale wetgeving worden voorzien in afwijkingen van de in de artikelen 15, 16, 17a, 17b, 18 en 19 genoemde rechten, behoudens de in lid 1 bedoelde voorwaarden en waarborgen, voor zover die rechten het verwezenlijken van de specifieke doelen onmogelijk dreigen te maken of ernstig dreigen te belemmeren, en dergelijke afwijkingen noodzakelijk zijn om die doelen te bereiken.
4.
Wanneer verwerking als bedoeld in de leden 2 en 3 tegelijkertijd ook een ander doel dient, zijn de afwijkingen uitsluitend van toepassing op de verwerking voor de in die leden bedoelde doelen.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
203
NL
Artikel 84 Geheimhoudingsplicht 1.
Wanneer dit noodzakelijk en evenredig is om het recht op bescherming van persoonsgegevens in overeenstemming te brengen met de geheimhoudingsplicht kunnen de lidstaten specifieke regels vaststellen voor de in artikel 53, lid 1, punten da) en db), bedoelde bevoegdheden van de toezichthoudende autoriteiten in verband met de verwerkingsverantwoordelijken of verwerkers die krachtens Uniewetgeving, nationale wetgeving of door nationale bevoegde instanties vastgestelde regelgeving, aan het beroepsgeheim of aan een andere gelijkwaardige geheimhoudingsplicht onderworpen zijn. Deze regels zijn uitsluitend van toepassing op persoonsgegevens die de verwerkingsverantwoordelijke of de verwerker in het kader van een onder deze geheimhoudingsplicht vallende activiteit heeft ontvangen of verkregen.
2.
Elke lidstaat deelt de Commissie uiterlijk op de in artikel 91, lid 2, vastgelegde datum de regels mee die hij heeft vastgesteld overeenkomstig lid 1, alsmede onverwijld alle wijzigingen daarvan. Artikel 85 Bestaande gegevensbeschermingsregels van kerken en religieuze verenigingen
1.
Wanneer kerken en religieuze verenigingen of gemeenschappen in een lidstaat op het tijdstip van de inwerkingtreding van deze verordening uitgebreide regels betreffende de bescherming van personen in verband met de verwerking van persoonsgegevens toepassen, kunnen die regels van toepassing blijven, mits zij in overeenstemming worden gebracht met de bepalingen van deze verordening.
2.
Kerken en religieuze verenigingen die overeenkomstig lid 1 uitgebreide regels hanteren, zijn onderworpen aan toezicht door een onafhankelijke toezichthoudende autoriteit die specifiek kan zijn, op voorwaarde dat de autoriteit voldoet aan de voorwaarden die zijn vastgesteld in hoofdstuk VI van deze verordening.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
204
NL
HOOFDSTUK X GEDELEGEERDE HANDELINGEN EN UITVOERINGSHANDELINGEN Artikel 86 Uitoefening van de bevoegdheidsdelegatie 1.
De bevoegdheid om gedelegeerde handelingen vast te stellen, wordt aan de Commissie toegekend onder de in dit artikel neergelegde voorwaarden.
2.
De in artikel 12, lid 4c, en artikel 39a, lid 7, bedoelde bevoegdheidsdelegatie wordt aan de Commissie toegekend voor onbepaalde tijd met ingang van de datum van inwerkingtreding van deze verordening.
3.
Het Europees Parlement of de Raad kan de in artikel 12, lid 4c, en artikel 39a, lid 7, bedoelde bevoegdheidsdelegatie te allen tijde intrekken. Het besluit tot intrekking beëindigt de delegatie van de in dat besluit genoemde bevoegdheid. Het wordt van kracht op de dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie of op een daarin genoemde latere datum. Het laat de geldigheid van de reeds van kracht zijnde gedelegeerde handelingen onverlet.
4.
Zodra de Commissie een gedelegeerde handeling heeft vastgesteld, doet zij daarvan gelijktijdig kennisgeving aan het Europees Parlement en de Raad.
5.
Een overeenkomstig artikel 12, lid 4c, en artikel 39a, lid 7, vastgestelde gedelegeerde handeling treedt alleen in werking indien het Europees Parlement noch de Raad daartegen binnen een termijn van drie maanden na de kennisgeving van de handeling aan het Europees Parlement en de Raad bezwaar heeft gemaakt, of indien zowel het Europees Parlement als de Raad voor het verstrijken van die termijn de Commissie hebben medegedeeld dat zij daartegen geen bezwaar zullen maken. Die termijn wordt op initiatief van het Europees Parlement of de Raad met drie maanden verlengd.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
205
NL
Artikel 87 Comitéprocedure 1.
De Commissie wordt bijgestaan door een comité. Dat comité is een comité in de zin van Verordening (EU) nr. 182/2011.
2.
Wanneer naar dit lid wordt verwezen, is artikel 5 van Verordening (EU) nr. 182/2011 van toepassing.
3.
Wanneer naar dit lid wordt verwezen, is artikel 8 van Verordening (EU) nr. 182/2011, in samenhang met artikel 5 van die verordening, van toepassing.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
206
NL
HOOFDSTUK XI SLOTBEPALINGEN Artikel 88 Intrekking van Richtlijn 95/46/EG 1.
Richtlijn 95/46/EG wordt op de in artikel 91, lid 2, genoemde datum ingetrokken.
2.
Verwijzingen naar de ingetrokken richtlijn gelden als verwijzingen naar deze verordening. Verwijzingen naar de groep voor de bescherming van personen in verband met de verwerking van persoonsgegevens, die bij artikel 29 van Richtlijn 95/46/EG is opgericht, gelden als verwijzingen naar het bij deze verordening opgerichte Europees Comité voor gegevensbescherming. Artikel 89 Verhouding tot Richtlijn 2002/58/EG
Deze verordening legt natuurlijke personen of rechtspersonen geen aanvullende verplichtingen op met betrekking tot de verwerking van persoonsgegevens in verband met het verstrekken van openbare elektronische-communicatiediensten in openbare communicatienetwerken in de Unie, voor zover zij op grond van Richtlijn 2002/58/EG onderworpen zijn aan specifieke verplichtingen met dezelfde doelstelling.
Artikel 89b Verhouding tot eerder gesloten overeenkomsten Internationale overeenkomsten betreffende de doorgifte van persoonsgegevens aan derde landen of internationale organisaties die door de lidstaten zijn gesloten vóór de inwerkingtreding van deze verordening, en die in overeenstemming zijn met de vóór de inwerkingtreding van deze verordening toepasselijke Uniewetgeving, blijven van kracht totdat zij worden gewijzigd, vervangen of ingetrokken.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
207
NL
Artikel 90 Evaluatie 1.
De Commissie brengt op gezette tijden verslag uit aan het Europees Parlement en de Raad over de evaluatie en de toetsing van deze verordening.
2.
In het kader van deze evaluaties beoordeelt de Commissie met name de toepassing en het functioneren van de bepalingen van:
a)
hoofdstuk V betreffende de doorgifte van persoonsgegevens aan derde landen of internationale organisaties, in het bijzonder met betrekking tot krachtens artikel 41, lid 3, vastgestelde besluiten en op grond van artikel 25, lid 6, van Richtlijn 95/46/EG vastgestelde besluiten;
b) 2a.
hoofdstuk VII betreffende samenwerking en conformiteit.
Voor het in lid 1 vermelde doel kan de Commissie zowel de lidstaten als toezichthoudende autoriteiten om informatie verzoeken.
2b.
Bij de uitvoering van de in de leden 1 en 2 vermelde evaluaties en toetsingen neemt de Commissie de standpunten en bevindingen van het Europees Parlement, de Raad, en andere relevante instanties of bronnen in aanmerking.
3.
Het eerste verslag wordt uiterlijk vier jaar na de inwerkingtreding van deze verordening ingediend. Daarna worden de volgende verslagen om de vier jaar ingediend. Deze verslagen worden gepubliceerd.
4.
Indien nodig dient de Commissie passende voorstellen in teneinde deze verordening te wijzigen, met name in het licht van de ontwikkelingen in de informatietechnologie en de stand van zaken in de informatiemaatschappij.
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
208
NL
Artikel 90a (nieuw) Toetsing van andere EU-gegevensbeschermingsinstrumenten Indien passend dient de Commissie wetgevingsvoorstellen in teneinde andere EUrechtsinstrumenten betreffende de bescherming van persoonsgegevens te wijzigen en aldus een uniforme en consequente bescherming van natuurlijke personen te garanderen in verband met de verwerking van persoonsgegevens. Het gaat hierbij met name om de regels betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door instellingen, organen en instanties van de Unie, en betreffende het vrije verkeer van die gegevens.
Artikel 91 Inwerkingtreding en toepassing 1.
Deze verordening treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.
2.
Zij is van toepassing met ingang van [twee jaar na de in lid 1 bedoelde datum].*
* PB: datum invoegen Deze verordening is verbindend in al haar onderdelen en is rechtstreeks toepasselijk in elke lidstaat. Gedaan te Brussel, op
Voor het Europees Parlement
Voor de Raad
De voorzitter
De voorzitter
15039/15 BIJLAGE
dep/pro/mou/rts/roe/dui/ ADW/as DGD 2C
LIMITE
209
NL